界: Input Validation and Representation

输入验证与表示问题是由元字符、交替编码和数字表示引起的。安全问题源于信任输入。这些问题包括：“Buffer Overflows”、“Cross-Site Scripting”攻击、“SQL Injection”等其他问题。

Format String

C/C++
Objective-C

Abstract

允许攻击者控制函数的 format string 会导致 buffer overflow。

Explanation

Format string 漏洞会在以下情况下发生：

1. 数据从不可信赖的数据源进入应用程序。

2. 数据作为 format string 参数传送到某个函数，如 sprintf()、FormatMessageW() 或 syslog()。
示例 1：以下代码使用 snprintf() 将一个命令行参数复制到缓冲区中。


int main(int argc, char **argv){
	char buf[128];
	...
	snprintf(buf,128,argv[1]);
}

该代码允许攻击者查看堆栈的内容，并使用包含一连串的格式化指令的命令行参数对堆栈进行写入。攻击者能够通过提供更多的格式化指令（如 %x）来读取堆栈中的内容，然后函数会作为即将格式化的参数使用。（在本例中，函数没有采用任何即将格式化的参数。）通过使用 %n 格式化指令，攻击者能够对堆栈进行写入，进而使 snprintf() 记下迄今为止输出的字节数，并将其传送给指定的参数（而不是直接从参数中读取数值，这是程序员最初设计的行为）。对于这种攻击，更为的复杂的形式是使用四条交错的写入来完全控制堆栈中某个指针的值。

示例 2：有些实现方式通过提供格式化指令来控制内存中的读写位置，这样可以简化较高级的攻击。以下代码就是这种指令的一个例子，它为 glibc 而写：


	printf("%d %d %1$d %1$d\n", 5, 9);

该代码产生了如下输出：


5 9 5 5

此外，还可以使用 half-writes (%hn) 来准确地控制内存中的任意 DWORDS，这会大大地降低执行攻击的难度，否则此攻击将需要进行四次交错写入，如Example 1 中所述。

示例 3：简单的 format string 漏洞通常由表面上看似没有什么危险的快捷方式所导致。某些快捷方式的使用已经深入人心，以致于程序员可能都不会意识到他们所使用的函数需要一个 format string 参数。

例如，syslog() 函数有时候可以这样使用：


	...
	syslog(LOG_ERR, cmdBuf);
	...

由于 syslog() 的第二个参数是格式字符串，因此 cmdBuf 中的任何格式化指令都会按照Example 1 中所述进行解释。

以下代码显示了 syslog() 的正确使用方式：


	...
	syslog(LOG_ERR, "%s", cmdBuf);
	...

References

[1] T. Newsham Format String Attacks Guardent, Inc.

[2] Standards Mapping - Common Weakness Enumeration CWE ID 134

[3] Standards Mapping - Common Weakness Enumeration Top 25 2024 [12] CWE ID 020

[4] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754, CCI-002824

[5] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[6] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C Guidelines 2012 Rule 1.3

[7] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C Guidelines 2023 Directive 4.14, Rule 1.3

[8] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C++ Guidelines 2008 Rule 0-3-1

[9] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C++ Guidelines 2023 Rule 4.1.3

[10] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1), SI-16 Memory Protection (P1)

[11] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation, SI-16 Memory Protection

[12] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.4.2 Memory/String/Unmanaged Code Requirements (L1 L2 L3)

[13] Standards Mapping - OWASP Mobile 2014 M7 Client Side Injection

[14] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation

[15] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4

[16] Standards Mapping - OWASP Top 10 2004 A5 Buffer Overflow

[17] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.5

[18] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1

[19] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.2

[20] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.2

[21] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.2

[22] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.2

[23] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.2

[24] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[25] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[26] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[27] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation

[28] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation, Control Objective C.3.2 - Web Software Attack Mitigation

[29] Standards Mapping - SANS Top 25 2011 Risky Resource Management - CWE ID 134

[30] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I, APP3560 CAT I

[31] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I, APP3560 CAT I

[32] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I, APP3560 CAT I

[33] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I, APP3560 CAT I

[34] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I, APP3560 CAT I

[35] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I, APP3560 CAT I

[36] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I, APP3560 CAT I

[37] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002560 CAT I, APSC-DV-002590 CAT I

[38] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002560 CAT I, APSC-DV-002590 CAT I

[39] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002560 CAT I, APSC-DV-002590 CAT I

[40] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002560 CAT I, APSC-DV-002590 CAT I

[41] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002560 CAT I, APSC-DV-002590 CAT I

[42] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002560 CAT I, APSC-DV-002590 CAT I

[43] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002560 CAT I, APSC-DV-002590 CAT I

[44] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002560 CAT I, APSC-DV-002590 CAT I

[45] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002560 CAT I, APSC-DV-002590 CAT I

[46] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002560 CAT I, APSC-DV-002590 CAT I

[47] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002560 CAT I, APSC-DV-002590 CAT I

[48] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002560 CAT I, APSC-DV-002590 CAT I

[49] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002560 CAT I, APSC-DV-002590 CAT I

[50] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I, APSC-DV-002590 CAT I

[51] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I, APSC-DV-002590 CAT I

[52] Standards Mapping - Web Application Security Consortium Version 2.00 Format String (WASC-06)

[53] Standards Mapping - Web Application Security Consortium 24 + 2 Format String Attack

desc.dataflow.cpp.format_string

Abstract

攻击者可以控制 format string，发起类似于缓冲区溢出的攻击。

Explanation

Format string 漏洞会在以下情况下发生：

1. 数据从不可信赖的数据源进入应用程序。

2. 数据作为 format string 参数传送到某个函数，如 sprintf()、FormatMessageW()、syslog()、NSLog 或 NSString.stringWithFormat示例 1：下面的代码将命令行参数作为 NSString.stringWithFormat: 中的 format string。


int main(int argc, char **argv){
	char buf[128];
	...
	[NSString stringWithFormat:argv[1], argv[2] ];
}

该代码允许攻击者查看堆栈的内容，并使用包含一连串的格式化指令的命令行参数损坏堆栈。攻击者能够通过提供更多的格式化指令（如 %x）来读取堆栈中的内容，然后函数会作为即将格式化的参数使用。（在本例中，函数没有采用任何即将格式化的参数。）

Objective-C 支持旧版 C 语言的标准库，因此如果您的应用程序使用 C API，则可以使用以下示例。

示例 2：有些实现方式通过提供格式化指令来控制内存中的读写位置，这样可以简化较高级的攻击。以下代码就是这种指令的一个例子，它为 glibc 而写：


	printf("%d %d %1$d %1$d\n", 5, 9);

该代码产生了如下输出：


5 9 5 5


	...
	syslog(LOG_ERR, cmdBuf);
	...


	...
	syslog(LOG_ERR, "%s", cmdBuf);
	...

示例 4：Apple 核心类提供了利用 format string 漏洞的有趣途径。

例如，String.stringByAppendingFormat() 函数有时候可以这样使用：


	...
	NSString test = @"Sample Text.";
	test = [test stringByAppendingFormat:[MyClass
	formatInput:inputControl.text]];
	...

stringByAppendingFormat 会解析传递给它的 NSString 中包含的任意 format string 字符。

以下代码显示了 stringByAppendingFormat() 的正确使用方式：


	...
	NSString test = @"Sample Text.";
	test = [test stringByAppendingFormat:@"%@", [MyClass
	formatInput:inputControl.text]];
	...