Versione delle 16:20, 7 dic 2017 modifica Luc.bonora (discussione \| contributi) 29 modifiche →Funzionamento ← Differenza precedente		Versione delle 16:38, 7 dic 2017 modifica annulla Luc.bonora (discussione \| contributi) 29 modifiche →Introduzione Differenza successiva →
Riga 4: == Introduzione == Il tipo di attacco Format String è una classe di vulnerabilità scoperte nel 1999, presenti prevalentemente in linguaggi di programmazione imperativi come il C. Un attacco di tipo Format String è formato dai seguenti componenti: Format Function: in ANSI C è una funzione che converte una variabile di tipo primitivo del linguaggio di programmazione in una stringa leggibile dall’uomo. {\| printf: stampa su stdout \|- fprintf: stampa la format string su un file \|- sprintf: stampa la stringa dentro un’altra \|- snprintf: stampa esattamente n caratteri della stringa in ingresso nella seconda stringa (già più sicura delle altre!!) \|} Format String: è l’argomento della Format Function ed una stringa ASCII che contiene sia testo che parametri di formato, ad esempio: printf(“The magic number is %d\n”, 3); Format String Parameter: definisco il tipo di conversione da effettuare in relazione alla variabile presente nella format string. Ad esempio: “%s”: per stampare una stringa

Format string attack: differenze tra le versioni