Che tipo di attacchi possono essere eseguiti da un utente malintenzionato che può impostare variabili d'ambiente? [chiuso]

1

Se un utente malintenzionato può impostare a piacere le variabili di ambiente, quali attacchi possono essere eseguiti utilizzando questo vantaggio e quale grado di controllo può assumere l'attaccante?

    
posta TheEnvironmentalist 19.09.2016 - 15:18
fonte

2 risposte

2

Che dire di LD_LIBRARY_PATH su Unix / Linux o PATH su Windows? Se riesco a ottenere un notepad.exe dannoso in C: \ windows \ temp, posso aggiungere questo percorso come primo elemento nel PERCORSO e il file dannoso verrà eseguito al posto di quello reale.

    
risposta data 19.09.2016 - 15:32
fonte
1

Questa è una domanda davvero troppo ampia per una risposta diretta.

Dipende molto dal sistema operativo e da altre applicazioni che potrebbero essere in uso. Molte applicazioni possono richiedere un certo livello di configurazione dalle variabili di ambiente.

Ad esempio, molte applicazioni node.js prenderanno una variabile che determina se viene eseguita in una modalità di produzione o di sviluppo. Se un utente malintenzionato può forzarlo in modalità di sviluppo, l'autore dell'attacco potrebbe essere in grado di trovare informazioni non presentate in modalità di produzione.

Tuttavia, avrei pensato che ci sono attacchi molto più facili. Se qualcuno ha accesso sufficiente per modificare le variabili d'ambiente, potrebbe avere anche un altro accesso.

    
risposta data 19.09.2016 - 15:36
fonte

Leggi altre domande sui tag