레이스 컨디션(Race Condition) 공격

2020. 1. 25. 09:41· Security/취약점과 공격

레이스 컨디션(Race Condition)이란?

한정된 공유 자원을 여러 프로세스가 동시에 이용하기 위해 경쟁을 벌이는 현상



공격의 개념

  1. 소유자가 root이고 SetUID가 설정된 프로그램이 생성하는 임시 파일의 이름 파악
  2. 생성될 임시 파일의 이름과 같은 파일을 생성하고 이에 링크하는 심볼릭 링크 파일 생성
  3. 원본 임시 파일을 삭제하고 프로그램이 링크 대상 파일과 같은 파일을 생성
  4. 생성되면 심볼릭 링크를 이용해 내용을 변경하고 프로그램은 정상 임시 파일로 인식해 프로세스 진행
  5. root의 권한을 획득하게 됨


대응 방안

  • 되도록 임시 파일을 생성하지 않기
  • 생성 후, 심볼릭 링크의 존재 여부를 검사하기
  • 임시 파일의 명칭을 예측하지 못하도록 하기


저작자표시 (새창열림)

'Security > 취약점과 공격' 카테고리의 다른 글

크리덴셜 스터핑(Credential Stuffing) 공격  (0) 2021.07.06
타이포스쿼팅(Typosquatting Attack) 공격  (0) 2021.06.29
SQL 주입 공격(SQL Injection Attack)  (0) 2020.02.08
버퍼 오버플로우 공격(Buffer Overflow Attack)  (0) 2020.01.28
분산 반사 서비스 거부 공격 :: DRDoS  (0) 2020.01.26
'Security/취약점과 공격' 카테고리의 다른 글
  • 타이포스쿼팅(Typosquatting Attack) 공격
  • SQL 주입 공격(SQL Injection Attack)
  • 버퍼 오버플로우 공격(Buffer Overflow Attack)
  • 분산 반사 서비스 거부 공격 :: DRDoS
문찬웅_
문찬웅_
기본에 충실하게.
문찬웅_
Mild Security
문찬웅_
전체
오늘
어제
  • 모든 게시물
    • Security
      • 취약점과 공격
      • 운영체제 보안
      • 네트워크 보안
      • 어플리케이션 보안
      • 정보보안 관리 및 법규
    • Develop
      • C 언어
      • 참고 자료
    • Cloud
      • NCP - Naver Cloud Platform
      • AWS - Amazon Web Service
    • OS
      • Linux
      • Windows
      • MAC
    • Computer Base
      • Network
    • Others
      • 유용한 IT 정보
      • 자격증
      • URL
      • Chrome 확장 프로그램

인기 글

태그

  • C언어
  • C Lan
  • C
  • C language
  • 정보보안
  • centos
  • Cent
  • 리눅스
  • C 언어
  • 해킹

최근 댓글

최근 글

hELLO · Designed By 정상우.v4.2.0
문찬웅_
레이스 컨디션(Race Condition) 공격
상단으로

티스토리툴바

개인정보

  • 티스토리 홈
  • 포럼
  • 로그인

단축키

내 블로그

내 블로그 - 관리자 홈 전환
Q
Q
새 글 쓰기
W
W

블로그 게시글

글 수정 (권한 있는 경우)
E
E
댓글 영역으로 이동
C
C

모든 영역

이 페이지의 URL 복사
S
S
맨 위로 이동
T
T
티스토리 홈 이동
H
H
단축키 안내
Shift + /
⇧ + /

* 단축키는 한글/영문 대소문자로 이용 가능하며, 티스토리 기본 도메인에서만 동작합니다.