Domande con tag 'race-condition'

2
risposte

Le condizioni di gara basate su memcpy () sono sfruttabili per causare l'esecuzione di codice in modalità remota?

Diciamo che ho il seguente pseudocodice nella parte fidata di una sandbox che impedisce al codice non sicuro di chiamare mprotect() e mmap() e ptrace() direttamente (mutext non è accessibile dalla memoria sandbox) ... //src an...
posta 20.02.2017 - 02:44
1
risposta

È un collegamento simbolico una vulnerabilità molto comune nei sistemi UNIX

Per quanto ne so, quando sto creando un nuovo file o una nuova directory in una directory che può essere scritta da più utenti (e quindi un avversario può aver creato un link simbolico lì), l'unico modo per proteggermi dalla corsa simbolica sta...
posta 05.03.2015 - 11:02
2
risposte

Come posso testare la mia applicazione web per gli attacchi temporali?

condizioni di gara, ecc. Ci sono strumenti automatici per questo? Quali tecniche manuali dovrei usare? Dalla proposta di Area51     
posta 16.11.2010 - 08:34
1
risposta

Come risolvere le condizioni di gara nelle soluzioni di autenticazione a 2 fattori come i token di sicurezza RSA o Google Authenticator?

Uno dei motivi per cui optiamo per l'autenticazione a 2 fattori è la riduzione dell'impatto dei keylogger. La teoria è che anche se un utente malintenzionato è in grado di osservare il tipo di utente nei numeri di token, non sarebbe in grado di...
posta 04.01.2013 - 15:56
1
risposta

L'app store di Amazon è vulnerabile alle condizioni di race storage esterne?

C'è stato un carico di kerfuffle su come Fortnite su Android salva gli APK su storage esterno e su come possono essere sovrascritti prima di essere installati. (La stampa sta chiamando goffamente questo attacco man-in-the-disk.) Ho sentito da...
posta 30.08.2018 - 08:36
2
risposte

Vulnerabilità del codice nello script Shell

Mi è stato assegnato un incarico per la mia classe di sicurezza informatica. Ci è stato dato un pezzo di codice per analizzare e determinare le vulnerabilità che potrebbe avere. #!/bin/sh # shell script to create a copy of the shadow file to t...
posta 13.05.2015 - 19:22
1
risposta

software Pentest con condizioni di gara

Devo pentestare un programma "xchgpass" che si comporta come passwd. Questo "xchgpass" modifica un file situato in / etc / secretpass. xchgpass ha setuid bit impostato: hacker@cours-info:~$ ls -l /usr/bin/xchgpass -rwsr-xr-x 1 level7 hacke...
posta 20.01.2017 - 13:54
2
risposte

È possibile pianificare le condizioni di gara?

È possibile pianificare le condizioni di gara, in modo da poter eseguire comandi specifici in un momento specifico? Ad esempio, il codice seguente è vulnerabile a una condizione di competizione. È possibile modificare il file / sostituirlo co...
posta 24.03.2016 - 21:32