[시큐어코딩 가이드] 2-1-16. 포맷 스트링 삽입

포맷 스트링 삽입 정의 외부로부터 입력된 값을 검증하지 않고 입·출력 함수의 포맷 문자열로 그대로 사용하는 경우 발생할 수 있는 보안약점 공격자는 포맷 문자열을 이용해 취약한 프로세스를 공격하거나 메모리 내용을 읽고 쓸 수 있으며, 이를 통해 취약한 프로세스의 권한을 취득해 임의의 코드를 실행 안전한 코딩기법 포맷 문자열을 처리하는 함수 사용 시 사용자 입력값을 직접적으로 포맷 문자열로 사용하거나 포맷 문자열 생성에 포함시키지 않아야 한다. 사용자로부터 입력받은 데이터를 포맷 문자열로 사용하고자 하는 경우에는 서식 지정자를 포함하지 않거나 파이썬의 내장함수 또는 내장변수 등이 포함되지 않도록 해야 한다. 코드예제 외부에서 입력받은 문자열을 바로 포맷스트링으로 사용하면 내부 정보가 외부로 노출될 수 있는 ..