زمان بررسی تا زمان استفاده
زمان بررسی تا زمان استفاده (به انگلیسی: Time of check to time of use) (به اختصار TOCTTOU یا TOCTOU، به صورت TOCK too تلفظ میشود) نام یک دسته از باگهای نرمافزاری است. در خیلی از برنامهها ابتدا یک شرط بررسی میشود و سپس از نتیجهٔ آن شرط در جای دیگری استفاده میشود. این عمل اتمی و تجزیهناپذیر نیست و بین زمان بررسی کردن یک شرط و زمان استفاده از نتایج آن، یک حفره زمانی وجود دارد. این حفره زمانی این امکان را ایجاد میکند که پس از بررسی کردن اولیه شرط، نتایج آن توسط یک رویداد خارجی تغییر کند، در نتیجه، وقتی که برنامه قصد استفاده از نتایج را دارد، آن نتایج دیگر معتبر نخواهند بود، چرا که تغییر یافتهاند. این باگ، نوعی شرایط رقابتی است.
به عنوان یک مثال ساده، میتوان یک برنامه وب را تصور کرد که به کاربران اجازه میدهد تا صفحات را ویرایش کنند، همچنین به مدیران هم اجازه میدهد تا آن صفحه را قفل کرده و مانع از ویرایش آن توسط دیگر کاربران شوند. کاربری درخواست ویرایش آن صفحه را میدهد، و فرمی برای او باز میشود که از طریق آن میتواند صفحه مورد نظر را ویرایش کند، قبل از اینکه کاربر صفحه را ارسال کند و تغییرات در آن صفحه اعمال شوند، یک مدیر آن صفحه را قفل میکند، که مانع از ویرایش آن توسط کاربر میشود. با این حال، از آنجا که عمل ویرایش از قبل شروع شده است، وقتی که کاربر تغییراتش را در صفحه ذخیره میکند، تغییرات او مورد قبول واقع میشود.وقتی که کاربر شروع به ویرایش میکند، اختیارات او بررسی میشود و به کاربر اجازه ویرایش صفحه داده میشود. با این حال، اختیارات او بعداً مورد استفاده قرار میگیرند، وقتی که کاربر دیگر نباید اجازه ویرایش داشته باشد.
این نوع از باگها، عمدتاً در سیستمعامل یونیکس در حین کار کردن با فایلسیستم رایج هستند، اما در جایهای دیگر هم میتوانند اتفاق بیوفتند، مثلاً در حین کار با متغیرهای سراسری. در اوایل دهه ۱۹۹۰، برنامه mail در بیاسدی نسخه ۴٫۳ یک جور شرایط رقابتی در حین کار با فایلهای موقت داشت که امکان سوء استفاده از آن هم وجود داشت. این برنامه از mktemp() استفاده میکرد (که هماکنون منسوخ شده و mkstemp() جایگزین آن شده). نسخههای اولیه اوپناساساچ هم در حین کار با سوکتهای دامنه یونیکس یک شرایط رقابتی داشتند.
مثال
در یونیکس، اگر کد زیر در برنامهای که setuid است استفاده شود، یک باگ TOCTTOU خواهد داشت:
if (access("file", W_OK) != 0) {
exit(1);
}
fd = open("file", O_WRONLY);
write(fd, buffer, sizeof(buffer));
در اینجا، از فراخوان access استفاده شده تا بررسی شود که آیا کاربر واقعی که برنامه را اجرا کرده قادر به نوشتن در فایل است یا نه. access شناسه واقعی را چک میکند، نه شناسه مؤثر را.
از این شرایط رقابتی میتوان به شکل زیر سوءاستفاده کرد:
| Victim | Attacker |
if (access("file", W_OK) != 0) {
exit(1);
}
fd = open("file", O_WRONLY);
// Actually writing over /etc/passwd
write(fd, buffer, sizeof(buffer));
|
//
//
// After the access check
symlink("/etc/passwd", "file");
// Before the open, "file" points to the password database
//
//
|
در مثال بالا، یک مهاجم میتواند از حفره زمانی بین بررسی کردن مجوز فایل (access) تا باز کردن آن (open)، سوءاستفاده کند و برنامه را فریب بدهد تا به جای فایل مورد نظرش، طالاعاتش را در پایگاه داده کلمه عبور کاربران سیستم بنویسد. از باگهای TOCTTOU میتوان به همراه ترفیع امتیازی استفاده کرد تا دسترسی مدیریتی به سیتسم بدست آورد.
هرچند که روی دادن چنین توالی از اتفاقات نیازمند زمانبندی کردن دقیق است، یک مهاجم میتواند بودن سختی زیاد چنین کاری را انجام دهد.
برنامهها نمیتوانند این تصور را داشته باشند که بین زمان بررسی و زمان استفاده، هیچ تغییری رخ نخواهد داد.
منابع
Wikipedia contributors. Time of check to time of use. Wikipedia, The Free Encyclopedia. November 24, 2014, 04:01 UTC. Available at: http://en.wikipedia.org/w/index.php?title=Time_of_check_to_time_of_use&oldid=635192535. Accessed February 19, 2015.