Programación Segura: Problemas de cadena de formato

Continúa desde “Programación Segura: Desbordamientos del Búfer” Revisión General de los Problemas de cadena de formato. Los problemas de cadena de formato contituyen uno de los pocos ataques realmente nuevos que surgieron en años recientes. Al igual que con muchos problemas de seguridad, la principal causa de los errores de cadena de formato es aceptar sin validar la entrada proporcionada por el usuario. En C/C++ es posible utilizar errores de cadena de formato para escribir en ubicciones de memoria arbitrarias, y el aspecto mpas peligroso es que esto llega a suceder sin manipular bloques de memoria adyacentes. Esta capacidad de diseminación permite a un atacante eludir protecciones de pila, e incluso modificar partes my pequeñas de memoria. El problema también llega a ocurrir cuando las cadenas de formato se leen a partir de una ubicación no confiable que controla el atacante. Este último aspecto del problema tiende a ser más frecuente en sistemas UNIX y Linux. En sistemas Windows las tablas de cadena de aplicación suelen mantenerse dentro del progrma ejecutable o de las bibliotecas de vínculo dinámico (DLL, Dynamic Link Libraries) del recurso. Si un atacante reeescribe el ejecutable principal o de las DLL, tendrá la posibilidad de realizar ataques mucho más directos que con errores de cadena de formato. Aunque no esté trabajando con C/C++, los ataques de cadena de formato quizá conduzcan a problemas importantes; el más obvio es engañar a los usuarios, pero bajo ciertas circustancias es posible que un atacante lance ataques de creación de script de sitio cruzado o de inyección de SQL, los cuales también se utilizan para corregir o transformar datos. Lenguajes Afectados El lenguaje más afectado es C/C++. Un ataque exitoso quizá conduzca de manera inmediata a la ejecución de código arbitrario y a revelación de información. Por lo general otros lenguajes no permiten la ejecución de código arbitario, pero, como ya se observó, son proporcionados por entrada del usuario, pero podría serlo si las cadenas de formato se leen a partir de datos manipulados. Explicación del problema de cadena de formato El formateo de datos para despliegue o almacenamiento tal vez represente una tarea un poco difícil; por tanto, en muchos lenguajes de computadora se incluyen rutinas para reformatear datos con facilidad. En casi todos los lenguajes la información de formato se describe a través de un tipo de cadena, denominada cadena de formato. En realidad, la cadena de formato se define con el uso de lenguaje de procesamiento de datos limitado que está diseñado para facilitar la descripción de formatos de salida. Sin embargo, muchos desarrolladores cometen un sencillo error: utilizan datos de usuarios no confiables como cadena...

Leer Más

80 servicios y herramientas para convertir archivos – formatos

La conversión de archivos entre diferentes formatos puede ser una compleja y ardua tarea, especialmente cuando no tenemos a mano las herramientas necesarias para ello. Allí es donde entramos a google y empezamos a buscar desesperadamente ese enlace salvador que no sacará del apuro. La siguiente es una completisima y útil colección de herramientas y servicios  en línea para la conversión automática de archivos y formatos, incluyendo, imágenes, video, audio, oficina, etc. En la lista encontraremos  recursos tan variados, que van desde conversores de código fuente (vb, c#, html, .net, perl, etc), pasando por imágenes (gif, jpg, png, bmp, psd, etc), trabajo de oficina (xls, pfd, doc, ppt), hasta multimedia (dvd, avi, wmv, mpeg, mp4, mov, mp3)…. un largo etc. Servicio de conversión de...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES