CWE-689: Permission Race Condition During Resource Copy(资源复制期间的权限竞争条件)

最新推荐文章于 2022-03-05 10:00:47 发布
最新推荐文章于 2022-03-05 10:00:47 发布
阅读量462 收藏
点赞数
分类专栏: 漏洞检查 文章标签: 资源复制弱点 资源复制缺陷 权限竞争弱点 权限竞争缺陷 漏洞扫描

 ID: 689

类型: 复合
结构:混合

状态:草稿

描述

复制或克隆资源时,在复制完成之前,产品不会设置资源的权限或访问控制,使资源在复制过程中暴露于其他领域。

复合组件

关系

类型

ID

名称

需要

362

Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')

需要

732

Incorrect Permission Assignment for Critical Resource

相关视图

与“研究层面”视图(CWE-1000)相关

关系

类型

ID

名称

子女

732

Incorrect Permission Assignment for Critical Resource

引入模式

阶段

说明

实现

常见的例子出现在文件存档提取中,在这种情况下,产品以不安全的默认权限开始提取,然后仅在复制完成后设置最终权限(在存档中指定)。存档文件越大,比赛条件的计时窗口越大。

在一些操作系统实用程序中,也出现了这个弱点,这些实用程序执行包含大量文件的深度嵌套目录的副本。

这一弱点可能出现在涉及在多用户环境中(包括在应用程序级别)复制对象或资源的任何类型的功能中。例如,文档管理系统可能允许用户复制一个私有文档,但是如果它没有在复制开始时将新副本设置为私有,那么其他用户可能可以在复制仍在进行时查看文档。

应用平台

语言

C (出现的可能性不确定)

Perl (出现的可能性不确定)

后果

范围

冲击

可能性

保密性
完整性

技术冲击: 读应用数据; 修改应用数据

 

说明

研究空白

正在研究中。当资源一经创建就可供其他领域使用,但在初始化完成之前,在任何复杂或大型复制操作发生的情况下,似乎都可能出现这种弱点。

plstudio1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cwe-tool:基于常见弱点枚举的OWASP CAPSEC数据库的命令行CWE发现工具
05-23
CWE工具 一个基于Common Weakness Enumeration的OWASP / CAPSEC数据库的命令行CWE发现工具。 安装 可通过Node.js工具执行 如果您具有Node.js环境,则可以使用cwe-tool调用cwe-tool tool,如下所示: npx cwe-tool [...command-line options...] 码头工人 从Docker Hub提取图像 docker pull lirantal/cwe-tool docker run --rm lirantal/cwe-tool --search test 本地构建说明 git clone https://github.com/OWASP/cwe-tool docker build -t docker.pkg.github.com/owasp/cwe-tool/cwe-tool . -t ima
IDEA 2022.1.1 首次创建maven项目的问题及解决方法
m0_64272775的博客
01-29 1227
IDEA版本2022.1.1,这个版本和我在视频上看的旧版本创建maven的javaweb模板项目过程有点区别。用的是3.8.7的maven不要创建常规项目。。。。新建项目选下面的Maven Archetype,在Archetype中下拉列表选择org.apache.maven.archetypes:maven-archetype-webapp后点击创建,注意有两个webapp,不要选org.apache.cocoon:cocoon-22-archetype-webapp。
Essential Java resources
Dong's Dream Theater
07-28 996
Since its introduction to the programming community as a whole in 1995, the Java platform has evolved far beyond the "applets everywhere" vision that early Java pundits and evangelists imagined a Java
CVE-2014-2667解读
weixin_44698082的博客
04-20 269
CVE-2014-2667解读描述涉及版本CWE类型问题代码相关概念解释POC代码结果 描述 这是 Python OS 模块一个关于权限的漏洞 描述如下: Race condition in the _get_masked_mode function in Lib/os.py in Python 3.2 through 3.5, when exist_ok is set to true and m...
maven导入依赖后项目报错怎么办
wwzzh1989的博客
03-05 390
今天遇到一个问题,maven项目中导入了几个新的依赖,然后我看依赖的jar包都下载到本地仓库了,可项目就是报错.各种clean compile 重启idea 操作半天还是不见效果. 最终在删除.idea 和 .iml 文件并重启项目后正常了. 这两个文件是idea生成的,删了以后重启项目还重新生成 ...
最危险的编程错误
软件质量优化
03-09 3362
最近CWE发布了2010年度最危险的编程错误Top 25的排名:《2010 CWE/SANS Top 25 Most Dangerous Programming Errors》http://cwe.mitre.org/top25/#CWE-362 其中XSS以346的得分高票领先,其次是SQL注入和缓冲区溢出。 RankScoreID
CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')
thesum的专栏
06-25 801
cwe.mitre.org/data/definitions/362.html Example 2 The following function attempts to acquire a lock in order toperform operations on a shared resource. (Bad Code) ExampleLanguage: C 
Android开发者,必须知道的并且没有遇到的异常,附带简单的解决方案和异常过程、源码的分析从java层到Jni层
Engineer-Jsp的专栏
05-12 6511
android.os.TransactionTooLargeException: data parcel size 709428 bytes Android开发者,必须知道的并且没有遇到的异常,附带简单的解决方案和异常过程、源码的分析从java层到Jni层
网络安全风向标
颹蕭蕭
12-21 377
CWE Top 25 https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html RankIDNameScore2020 Rank Change [1]CWE-787Out-of-bounds Write65.93+1 [2]CWE-79Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')46.84-1 [3]CWE-125Out-
CWE/SANS TOP 25 Most Dangerous Programming Errors
xymyeah
01-14 3160
Experts Announce Agreement on the 25 Most Dangerous Programming Errors - And How to Fix ThemAgreement Will Change How Organizations Buy Software.Project Manager: Bob Martin, MITREQuestions: top2
check-cve-2019-19781:测试主机对CVE-2019-19781的敏感性
03-08
check-cve-2019-19781 :magnifying_glass_tilted_right: :lady_beetle: 该实用程序确定主机是否似乎容易受到。 要求 Python 3.6及更高版本。 请注意,不支持Python 2。 安装 从发行版: ... 来自来源: ...
yarn-audit-html:生成用于纱线审核HTML报告
05-10
默认情况下,将生成唯一漏洞列表(按MODULE_NAME , VERSIONCWE分组)。 如果要一一显示全部内容,请添加--no-unique选项: yarn audit --json | yarn-audit-html --no-unique 您还可以通过提供--template选项...
cwe_checker:cwe_checker在二进制可执行文件中找到易受攻击的模式
02-06
cwe_checker 注意:最近,我们将默认分析后端从BAP更改为较新的Ghidra后端。 该开关会在命令行界面和docker映像界面中引起一些更改。 请确保相应地更新脚本! 或者,稳定版本仍使用旧界面。什么是cwe_checker? cwe_...
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
选择性/相同站点的cookie 一个PSR-15中间件,用SameSite Cookie保护您的网站 :cookie:要求PHP 7.2+或8.0+安装 composer require selective/samesite-cookieSameSite Cookie 相同站点的cookie(“仅第一方”或“第一...
99-智慧园区数据平台方案.pptx
04-27
99-智慧园区数据平台方案.pptx
node-v12.11.1-x86.msi
最新发布
04-27
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于Springboot+Vue华强北商城二手手机管理系统-毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实中进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL中建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
Excel模版:工资条模板
04-27
Excel工资条模板是一种预先设计好的电子表格文件,主要用于生成和打印员工的工资单,让员工清楚了解自己的工资组成和扣款详情。模板通常包含了以下几个关键部分: 1. **员工信息区**: - 姓名 - 员工编号/工号 - 部门 - 职位 2. **工资构成区**: - 基本工资 - 岗位工资 - 绩效奖金 - 加班工资 - 其他补贴(如交通补贴、餐补、全勤奖等) - 各项津贴(如高温补贴、取暖费等) - 其他应发收入(如年终奖、提成、福利等) 3. **扣款项目区**: - 社保扣款(养老保险、医疗保险、失业保险、工伤保险、生育保险) - 住房公积金 - 个人所得税 - 其他扣款(如迟到、旷工、违规罚款等) - 预借还款(如有) 4. **工资结算区**: - 应发工资总额 - 扣款总额 - 实发工资 5. **备注栏**: - 用于标注本月工资的特殊情况说明,如请假、调休、加班等情况。 6. **签名栏**: - 供员工确认工资数额无误后签名,也可以
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么
06-09
1. CWE-16: Configuration,即配置问题,指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict,即解释冲突,指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值