漏洞名称 格式化字符串漏洞(苹果APP)
漏洞描述 该 App 中存在格式化字符串漏洞
风险等级 中
测试过程 0x1008ae670 1 12 sym.imp.printf
风险描述 系统提供了许多参数不定的外部函数,这些函数提供了参数可控(该格式化 字符串参数来自外部输入)的 printf 族、scanf 族函数。如果存在错误的参 数类型、格式化字符串参数或传入参数个数不一致等情况,可能会被攻击者 利用,从而获取到应用程序信息数据,甚至直接控制程序行为。
整改建议 开发者自查:使用精度说明符,或者对字符串参数设置边界检查。
jxc
- 发布:2022-06-06 09:47
- 更新:2022-06-06 10:21
- 阅读:318
FullStack - 【插件开发】【专治疑难杂症】【ios上架、马甲包、白包、过审、已成功上架过几百个】【多款插件已上架:https://ext.dcloud.net.cn/publisher?id=22130】【非诚勿扰】QQ:543610866
那就不用 printf()
jxc (作者)
如何设置不用printf(); 云端打包的时候在哪里设置
2022-06-06 10:25
FullStack
回复 jxc: 不是你js代码写的?
2022-06-06 10:26
jxc (作者)
回复 FullStack: 嗯,不是业务js 写的 是打包基座里面的代码0x1008ae670 1 12 sym.imp.printf
2022-06-06 10:31