什么是竞争条件?
比赛条件时发生多个进程访问和操作同一数据的同时,与成果的执行取决于特定的顺序进行的访问。
比赛的条件很感兴趣黑客竞争条件时,可以利用获得特权系统访问。
考虑下面的代码片断这说明比赛条件:
如果(访问( “ / tmp目录/数据文件” , R_OK ) == 0 ) (
峡湾=开放( “ / tmp目录/数据文件
进程(湾) ;
关闭(湾) ;
此代码创建的临时文件/ tmp目录/数据文件,然后打开它。
潜在的竞争条件的要求之间发生存取( ) ,并呼吁开放( ) 。
如果攻击者可以替代的内容, / tmp目录/数据文件的访问( )和开放( )函数,他可以操纵的行动计划,用途,数据文件。 这就是比赛 。
可能难以利用的比赛条件,因为你可能不得不“运行种族”很多次,然后再“赢了。 ” 您可能需要运行程序和易受伤害的脆弱性测试工具数千次,然后再获得expolit代码执行的漏洞后,打开和关闭前的脆弱性。 人们有时可能让攻击额外的优势,使用`不错`降低优先猪的合法程序。
不当使用函数调用访问( ) ,权限( ) , chgrp ( ) ,搭配chmod ( ) , mktemp ( ) , tempnam ( ) tmpfile ( ) ,和tmpnam ( )是正常的原因,比赛条件。
购买这些优秀的书籍安全编程在Amazon.com
 |
漏洞管理傻瓜
我们的朋友在Qualys的是提供免费的副本,电子版的漏洞管理傻瓜以技术问题解答读者。 漏洞管理傻瓜:
|  |
