6. Napad formatiranim nizom znakova

6.1. Eksploatacija

Napad formatiranim nizom znakova (engl. Format string attack) je klasa ranjivosti programske opreme koja je otkrivena oko 1999. godine, a koja se prethodno smatrala bezazlenom. Napad ove vrste može prouzročiti rušenje programa ili izvođenje opasnog programskog kôda. Problem proizlazi iz korištenja nefiltriranih korisničkih ulaza poput formata znakovnog niza u nekim funkcijama programskog jezika C koje obavljaju formatiranje, poput funkcije printf(). Zlonamjerni korisnik može koristiti specifikatore formata poput %s (oznaka za niz znakova koji završava nul znakom – string) i %x (označava heksadecimalni cijeli broj bez predznaka) da bi ispisao podatke sa stoga ili neke druge memorijske lokacije. Moguće je također ispisati proizvoljne podatke na proizvoljne memorijske lokacije koristeći specifikator formata %n koji zapisuje broj formatiranih bajtova na adresu koja je pohranjena na stogu.  

Ako napadač preda niz znakova koji sadrži specifikatore znakova printf() naredbe kao vrijednost parametra web aplikacije, on može:

1. Izvršavati proizvoljni kôd na poslužitelju
2. Čitati vrijednosti koje su na stogu
3. Izazvati segmentation fault

Exploiti ove vrste obično koriste kombinaciju različitih tehnika da bi natjerali program da prepiše npr. povratnu adresu na stogu sa pokazivačem na neki zlonamjerni shellcode.

6.1. Eksploatacija

            Pretpostavimo da web aplikacija ima parametar emailAdresa kojeg određuje korisnik i da aplikacija ispisuje vrijednost tog parametra koristeći funkciju printf() na sljedeći način: printf(emailAddress);

Ako vrijednost parametra emailAdresa sadrži specifikatore formata, funkcija printf() će parsirati te specifikatore i koristiti naknadno isporučene odgovarajuće argumente. Ako ti argumenti ne postoje, ispisat će se elementi stoga u skladu sa specifikatorima formata u funkciji printf().

Napad formatiranim nizom znakova prema tome možemo iskoristiti za:

1. Čitanje podataka sa stoga: Ako napadač može vidjeti izlaz funkcije printf(), on može pročitati vrijednosti sa stoga koristeći specifikator %x (jednom ili više puta).
2. Čitanje niza znakova iz memorije procesa: Ako napadač može vidjeti izlaz funkcije printf(), tada može pomoću specifikatora %s pročitati niz znakova sa proizvoljne memorijske lokacije.
3. Zapisivanje cijelog broja u memoriju procesa: Koristeći specifikator %n, napadač može zapisati cijeli broj na bilokoju memorijsku lokaciju. Na ovaj način može može prepisati povratnu adresu programa.

Greške u programu, koje omogućuju napad formatiranim nizom znakova, se pojavljuju kada programer želi ispisati znakovni niz koji sadrži podatke koje je predao korisnik. Programer može krivo napisati printf(buffer) umjesto printf(''%s'', buffer). U prvom slučaju niz znakova buffer će se protumačiti kao formatirani niz i parsirat će se sve naredbe formatiranja koje sadrži. Druga verzija ispisuje niz znakova na ekran, što je bila i namjera programera. Greške ovog tipa se uz C mogu pojaviti i u drugim programskim jezicima, iako su vrlo rijetke i obično se ne mogu eksploatirati.

LITERATURA

• http://en.wikipedia.org/wiki/Format_string_attack
• http://www.webappsec.org/projects/threat/classes/format_string_attack.shtml
• http://en.wikipedia.org/wiki/Format_string_attack

autor: Marijana Zelanto, 0036400264