Sally is carrying out a software analysis on her company’s proprietary application. She has found out that it is possible for an

admin2013-12-19  52

问题 Sally is carrying out a software analysis on her company’s proprietary application. She has found out that it is possible for an attacker to force an authorization step to take place before the authentication step is completed successfully. What type of issue would allow for this type of compromise to take place?

选项 A、Backdoor
B、Maintenance hook
C、Race condition
D、Data validation error

答案C

解析 C正确。竞争条件指的是当进程在共享资源上执行任务时,进程的执行顺序很可能会被打乱。当两个或多个进程使用同一个共享资源时,比如同一个变量内的数据,就有可能出现竞争条件。保证进程按正确的顺序执行它的功能至关重要。如果进程2在进程1之前在数据上执行任务,得到的结果会与进程1在进程2之前对数据进程操作大不相同。如果身份认证与授权的步骤分成了两个功能,那么攻击者利用竞争条件强迫授权步骤在身份认证步骤前发生也是可能的。
A不正确。因为后门是一种可用但在某个特定端口进行监听的服务。攻击者利用后门可以不用像普通系统用户需要身份认证,而轻而易举地得到被攻击系统的访问权限。
B不正确。因为维护钩子(maintenance hook)是一段特定的软件代码,它允许对软件产品中的敏感组件进行简单且未授权的访问。软件开发人员通常使用维护钩子使他们能快速访问产品代码,进而快速解决问题;但这种做法非常危险。如果攻击者发现了这种类型的访问,不需要任何身份认证、甚至不需要登录的危害很可能发生。
D不正确。因为数据验证错误通常不允许攻击者操纵进程执行顺序。攻击者可能通过某个特定接口输入无效的数据,进而达到使受害机器先执行他们的代码或导致缓冲区溢出的目的。
转载请注明原文地址:https://kaotiyun.com/show/UAhZ777K
0

最新回复(0)