Vulnérabilités
Vulnérabilité de chaîne de format
Aussi appelé: Bug de format printf
Définition
Faille due à l'utilisation d'une entrée contrôlée par l'utilisateur comme chaîne de format des fonctions de type printf, permettant la lecture ou l'écriture arbitraire de mémoire.
Exemples
- CVE-2000-0573 (wu-ftpd) : chaîne de format dans site exec, root distant.
- Routeurs embarqués journalisant directement vers syslog avec des champs contrôlés par l'attaquant.
Termes liés
Corruption mémoire
Terme générique pour les vulnérabilités où un programme écrit hors des limites prévues, compromettant sûreté de typage, flux de contrôle ou intégrité des données.
Secure Coding
Secure Coding — definition coming soon.
Débordement de tampon
Faille de sûreté mémoire où un programme écrit au-delà de la fin d'un tampon alloué, corrompant la mémoire adjacente et permettant souvent l'exécution de code.
Vulnérabilité
Faiblesse d'un système, d'une application ou d'un processus qu'un attaquant peut exploiter pour porter atteinte à la confidentialité, l'intégrité ou la disponibilité.
Exploit
Code, données ou technique exploitant une vulnérabilité pour provoquer un comportement non prévu : exécution de code, élévation de privilèges, fuite d'informations.
SAST (Static Application Security Testing)
Analyse automatisée du code source, du bytecode ou des binaires — sans exécution — pour repérer des faiblesses de sécurité comme l'injection, les API non sûres ou la cryptographie faible.