Développement iOS
  1. Développement iOS
  3. Pourquoi ma string est-elle potentiellement non sécurisée dans mon application iOS?
Intereting Posts
Appelez la méthode GameScene à partir de AppDelegate (Swift 3, SpriteKit, Xcode 8) Autoriser toutes les orientations pour un seul controller de vue Migration légère Core Data: impossible de find ou de déduire automatiquement le model de mappage pour la migration Swift 3: Mise en cache des images dans une collection Comment installer des applications sur Xcode 6 iOS Simulator Test ObjectiveC si int est long ou non / CGFloat est float ou double Classe de taille pour identifier l'iPhone 6 et l'iPhone 6 plus le portrait Migrer UIWebView vers WKWebView Taille de l'image de fond jeu Sprite Kit sqlite3_prepare_v2 a échoué (Xcode sqlite 3) Désactiver le debugging dans Expo pour React Native App iOS7 iPad App paysage uniquement, en utilisant UIImagePickerController Éviter le flou au début et à la fin de la video (même après l'utilisation de setPreferredVideoStabilizationMode: AVCaptureVideoStabilizationModeAuto)? Recadrer UIImage en alpha iOS 6 AutoPause ne fonctionne pas

Pourquoi ma string est-elle potentiellement non sécurisée dans mon application iOS?

J'initialise une string mutable, puis je l'enregistre comme suit. 

NSMutableSsortingng* mStr = [[NSMutableSsortingng alloc] init]; mStr = (NSMutableSsortingng*) someTextFieldIbOutlet.text; NSLog((NSSsortingng *) mStr);

Le code fonctionne et fonctionne, mais je reçois un avertissement étrange (en jaune): 

 Format ssortingng is not a ssortingng literal (potentially insecure).

Pourquoi?

Eh bien, il y a quelques problèmes ici.

Le premier (et non celui que vous avez demandé à propos de) est que vous allouer un nouveau NSMutableSsortingng, puis simplement le jeter dans la deuxième ligne lorsque vous le définissez à someTextFieldIbOutlet.text. En outre, vous êtes en train de convertir une string non mutable en une string mutable qui ne fonctionnera pas réellement. Au lieu de cela, combinez les deux premières lignes comme ceci: 

 NSMutableSsortingng* mStr = [NSMutableSsortingng ssortingngWithSsortingng:someTextFieldIbOutlet.text];

L'erreur réelle que vous obtenez est due au fait que le premier argument de NSLog est supposé être la string "format" qui indique à NSLog comment vous voulez formater datatables qui suivent dans les arguments suivants. Cela devrait être une string littérale (créée comme @"this is a literal ssortingng" ) afin qu'elle ne puisse pas être utilisée pour exploiter votre programme en y apportant des modifications.

Au lieu de cela, utilisez ceci: 

 NSLog(@"%@", mStr );

Dans ce cas, la string de format est @"%@" ce qui signifie "Créer un set d'objects NSSsortingng à %@ ". %@ signifie que l'argument suivant est un object et remplace %@ par la description de l'object (qui dans ce cas est la valeur de la string).

Si mStr était défini sur quelque chose comme %@ , NSLog essaierait de charger un argument d'object, échouerait, et NSLog probablement mal. Il existe d'autres strings de format qui peuvent également causer des ravages.

Si vous devez simplement save une string sans text de marqueur, utilisez: 

 NSLog(@"%@", mStr);

Le mStr vous mStr est utilisé pour le formatting. Si cette string provient d'une source non fiable, elle peut être utilisée pour exploiter votre programme si un attaquant fournit une input correctement écrite.

Vous devriez modifier votre code pour: 

 NSLog(@"%@", (NSSsortingng *) mStr);

De cette façon, quel que soit le contenu stocké dans mStr , il ne peut pas être utilisé par un attaquant pour exploiter votre programme.

C'est un problème de security sérieux; À partir de mes archives locales de la database CVE , j'ai compté 520 cas de failles de formatting entre 1999 et début 2012.