什麼是競爭條件?
比賽條件時發生多個進程訪問和操作同一數據的同時,與成果的執行取決於特定的順序進行的訪問。
比賽的條件很感興趣黑客競爭條件時,可以利用獲得特權系統訪問。
考慮下面的代碼片斷這說明比賽條件:
如果(訪問( “ / tmp目錄/數據文件” , R_OK ) == 0 ) (
峽灣=開放( “ / tmp目錄/數據文件
進程(灣) ;
關閉(灣) ;
此代碼創建的臨時文件/ tmp目錄/數據文件,然後打開它。
潛在的競爭條件的要求之間發生存取( ) ,並呼籲開放( ) 。
如果攻擊者可以替代的內容, / tmp目錄/數據文件的訪問( )和開放( )函數,他可以操縱的行動計劃,用途,數據文件。 這就是比賽 。
可能難以利用的比賽條件,因為你可能不得不“運行種族”很多次,然後再“贏了。 ” 您可能需要運行程序和易受傷害的脆弱性測試工具數千次,然後再獲得expolit代碼執行的漏洞後,打開和關閉前的脆弱性。 人們有時可能讓攻擊額外的優勢,使用`不錯`降低優先豬的合法程序。
不當使用函數調用訪問( ) ,權限( ) , chgrp ( ) ,搭配chmod ( ) , mktemp ( ) , tempnam ( ) tmpfile ( ) ,和tmpnam ( )是正常的原因,比賽條件。
購買這些優秀的書籍安全編程在Amazon.com
 |
漏洞管理傻瓜
我們的朋友在Qualys的是提供免費的副本,電子版的漏洞管理傻瓜以技術問題解答讀者。 漏洞管理傻瓜:
|  |
