CWE-560: Use of umask() with chmod-style Argument(使用umask函数时参数是chmod风格)

最新推荐文章于 2022-12-03 12:47:20 发布
最新推荐文章于 2022-12-03 12:47:20 发布
阅读量237 收藏
点赞数
分类专栏: 漏洞检查 文章标签: umask漏洞 chmod漏洞 参数漏洞 参数弱点 漏洞扫描

 ID: 560

类型:变量
结构:简单

状态:草稿

描述

该产品调用umask()时使用的参数不正确,该参数被指定为chmod()的参数。

相关视图

与“研究层面”视图(CWE-1000)相关

与“开发层面”视图(CWE-699)相关

引入模式

阶段

说明

实现

 

应用平台

语言

C (出现的可能性不确定)

后果

范围

冲击

可能性

保密性
完整性
访问控制

技术冲击: 读文件或者目录; 修改文件或目录; 越过保护机制

 

应对措施

阶段: 实现

使用umask()时候参数要保证正确

阶段: 测试

如果怀疑umask()被误用,可以使用grep来发现umask()的调用实例。

种属

关系

类型

ID

名称

属于

946

SFP Secondary Cluster: Insecure Resource Permissions

说明

其它

umask()手册页以错误语句开头:“umask将umask设置为mask&0777”,尽管此行为最好与chmod()的用法一致,其中用户提供的参数指定要在指定文件上启用的位,但umask()的行为实际上与之相反:umask()将umask设置为~mask&0777。umask()手册页继续描述umask()的正确用法:“open()使用umask为新创建的文件设置初始文件权限。具体来说,umask中的权限从模式参数关闭到打开(2)(例如,常见的umask默认值022会导致使用权限0666创建新文件,而在通常情况下,该模式指定为0666)。

plstudio1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cwe-tool:基于常见弱点枚举的OWASP CAPSEC数据库的命令行CWE发现工具
05-23
安装可通过Node.js工具执行如果您具有Node.js环境,则可以使用cwe-tool调用cwe-tool tool,如下所示: npx cwe-tool [...command-line options...]码头工人从Docker Hub提取图像docker pull lirantal/cwe-tooldocker...
umask是什么?
06-15 293
我们创建文件的默认权限是怎么来的?如何改变这个默认权限? 当我们登录系统之后创建一个文件总是有一个默认权限的,那么这个权限是怎么来的呢?这就是umask干的事情。umask设置了用户创建文件的默认权限,它与chmod的效果刚好相...
Linux ❉ mask和umask详解
wangjie72270的博客
01-17 3126
mask和umask详解
Linux权限管理(umask、粘滞位)
m0_55752775的博客
12-03 769
如果我们要进入一个目录,需要一个什么样的权限? 对于目录来讲,r代表什么呢?w又代表什么呢?
CWE-676: Use of Potentially Dangerous Function(使用不安全函数
plstudio1的博客
05-20 818
ID: 676 类型:基础 结构:简单 状态:草稿 描述 该程序调用一个潜在的危险函数,如果使用不当,可能会引入一个漏洞,但该函数也可以安全使用。 相关视图 与“研究层面”视图(CWE-1000)相关 与“开发层面”视图(CWE-699)相关 引入模式 阶段 说明 架构与设计 ...
关于Linux中umask(mask)函数
qq_43244501的博客
03-23 1204
最近学习Unix的候碰到了mode_t umask(mode_t mask函数。刚开始的候把mask设为0022,结果得到的umask为0026。反复试验后,原因如下: umask是一个八进制的数,mask参数是一个10进制的数,10进制的22转化为八进制就是26。上图 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200323142010869.pn...
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
选择性/相同站点的cookie 一个PSR-15中间件,用SameSite Cookie保护您的网站 :cookie:要求PHP 7.2+或8.0+安装 composer require selective/samesite-cookieSameSite Cookie 相同站点的cookie(“仅第一方”或“第一...
check-cve-2019-19781:测试主机对CVE-2019-19781的敏感性
03-08
check-cve-2019-19781 :magnifying_glass_tilted_right: :lady_beetle: 该实用程序确定主机是否似乎容易受到。 要求 Python 3.6及更高版本。 请注意,不支持Python 2。 安装 从发行版: ... 来自来源: ...
yarn-audit-html:生成用于纱线审核HTML报告
05-10
默认情况下,将生成唯一漏洞列表(按MODULE_NAME , VERSION和CWE分组)。 如果要一一显示全部内容,请添加--no-unique选项: yarn audit --json | yarn-audit-html --no-unique 您还可以通过提供--template选项...
cwe_checker:cwe_checker在二进制可执行文件中找到易受攻击的模式
02-06
cwe_checker是一整套检查,以检测常见的错误类,例如使用危险函数和简单的整数溢出。 这些错误类正式称为(CWE)。 它的主要目的是帮助分析人员快速找到易受攻击的代码路径。 它的主要重点是Linux和Unix操作系统上...
pvs-stdio ue4_PVS-Studio静态分析仪作为防止零日漏洞的工具
cullen2012的博客
09-07 338
pvs-stdio ue4 A Zero-day (0-day) vulnerability is a computer-software vulnerability introduced during the development process and not yet discovered by the developers. Zero-day vulnerabilities can be...
root用户和普通用户都要操作同一个文件,权限如何处理?(root创建的文件所属组继承该目录的所属组)
西京刀客
01-31 1万+
一些root用户和普通用户都要操作同一个文件候比较有用,思路有2点: 这个文件所属组属于普通用户,root创建的文件所属组的读写执行权限满足普通用户。
在Linux中设置umask值以及umask函数
qq_28090573的博客
05-24 2857
一、umask命令 umask值用于设置用户在创建文件的默认权限,当我们在系统中创建目录或文件,目录或文件所具有的默认权限就是由umask值决定的。 对于root用户,系统默认的umask值是0022;对于普通用户,系统默认的umask值是0002。执行umask命令可以查看当前用户的umask值。 [root@localhost ~]#umask 0...
cwe_checker初识别
无痕的博客
07-06 1410
cwe_checker:检测常见错误类的检查,主要目标是帮助分析师快速找到潜在的易受攻击的代码路径
Linux文件默认权限(umask)的修改/特殊权限/细部权限规划(ACL)
热门推荐
哒哒的博客
08-02 1万+
一.文件的默认权限1.如果不加以修改,Linux中新建一个文件以及目录的默认权限是: 对于目录,默认权限=777-umask 对于文件,默认权限=666-umask(文件默认无执行权限) 2.uamsk的修改vim /etc/bashrc 71行是普通用户的更改,73是超级用户的更改 vim /etc/profile 60行是普通用户的更改,62是超级用户的更改source
Linux命令之umask
weixin_34336292的博客
11-15 685
umask命令   linux常用的命令   umask命令的一般格式:   umask [选项] [掩码]   该命令用来设置限制新文件权限的掩码。当新文件被创建,其最初的权限由文件创建掩码决定。用户每次注册进入系统,umask命令都被执行,并自动设置掩码改变默认值,新的权限将会把旧的覆盖。   选项及其含义如下。   -...
linux-系统调用之umask()函数
guoqignrus的博客
06-13 337
函数原型:mode_t umask(mode_t mask) mask:八进制位掩码值 return: 返回上一次的掩码值,没有失败只有成功。
linux umask函数,C语言中umask函数的用法
weixin_42503008的博客
05-06 874
umask函数:相关函数:creat,open头文件:#includepes.h>#include 定义函数:mode_tumask(mode_tmask);函数说明:umask()会将系统umask值设成参数mask&0777后的值,然后将先前的umask值返回。在使用open()建立新文件,该参数mode并非真正建立文件的权限,而是(mode&~...
4.8 函数umask
Spring__Rider的博客
05-27 217
   至此我们已说明了与每个文件相关联的9个访问权限位,在此基础上我们可以说明与每个进程相关联的文件模式创建屏蔽字。    umask函数为进程设置文件模式创建屏蔽字,并返回之前的值。(这是少数几个没有出错返回函数中的一个。)#include <sys/stat.h>mode_t umask(mode_t cmask);                                 ...
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么
最新发布
06-09
1. CWE-16: Configuration,即配置问题,指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict,即解释冲突,指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值