Вторник, 18.06.2019
Reklamchik.at.ua
Меню сайта
Категории раздела
Об Интернет Войсках [1]
Об Интернет войсках,деятельность и все что связанно с нами.
Информационная безопасность [54]
Информационная безопасность
О нас [0]
Всё об интернет портале Reklamchik.at.ua
Мини-чат
500
Наш опрос
Оцените мой сайт
Всего ответов: 2
Статистика

Онлайн усяго: 1
Гостей: 1
Пользователей: 0
Главная » 2017 » Февраль » 23 » Ошибочное делегирование прав доступа
22:39
Ошибочное делегирование прав доступа
Ошибочное делегирование прав доступа — происходит тогда, когда какая-либо программа использует свои полномочия неправильно, будучи введённой в заблуждение третьей стороной. Один из способов повышения привилегий процесса в системе. 

 В области компьютерной безопасности пример ошибочного делегирования часто используют как аргумент в пользу систем безопасности, основанных на передаче пар «объект — метка доступа» между процессами при взаимодействии.

Классические пример такой ошибки — это случай, когда одна программа (будем называть её серверной) предоставляет услуги компилятора для других. Клиентская программа предоставляет серверной имя входного и выходного файлов, и серверу предоставляются такие же права доступа к этим файлам, какие имел клиент. 

 Услуги компилятора платные, и серверная программа имеет доступ к файлу с биллинговой информацией. Назовём этот файл ‘Bil’. Очевидно, клиент сам по себе не имеет прав доступа к этому файлу. Теперь предположим, что клиентская программа определяет файл ‘Bil’ как выходной для компилятора. Несмотря на то, что у клиента нет прав доступа к данному файлу, они изначально есть у серверной программы, поэтому, выполняя запрос клиентской программы, серверная перезапишет файл с биллнговой информацией.

В данном примере, программа-компилятор является представителем, работающим по запросу клиентской программы. Её обманули, заставив перезаписать свой же биллинговый файл по запросу клиента, то есть по сути полномочия по работе с этим файлом были в какой-то мере делегированы клиентской программе. 

 Когда программа пытается получить доступ к файлу, операционной системе необходимо знать 2 вещи: какой файл запрашивается и имеется ли у программы разрешение на доступ к файлу. В данном примере файл обозначается своим именем ,‘Bil’. Сервер получает имя файла от клиента, но не получает никакой информации о том, имеет ли клиент права доступа к этому файлу. Когда сервер открывает файл, система использует полномочия серверной программы, а не клиентской. Когда имя файла передавалось от клиента к серверу, права доступа не были переданы, они были без уведомления автоматически повышены системой.
Посредническая атака через FTP позволяет атакующему косвенно подключаться к TCP портам, к которым сам атакующий не имеет доступа. Для этого используется удалённый FTP-сервер, который и выступает в роли «обманутого представителя». Ещё один пример относится к брандмауэрам. Такое ПО может блокировать доступ к сети для отдельных приложений. Эта блокировка может обходиться путём запуска браузера со специфической ссылкой URL. У браузера, в отличие от приложения, есть доступ к сети. В случаях, когда одна программа запускает другую для доступа к сети, брандмауэр может запросить у пользователя, что ему делать. Однако пользователь часто не располагает достаточной информацией для того, чтобы понять, является ли попытка доступа санкционированной — часто несанкционированный доступ разрешается, к тому же есть риск, что даже продвинутому пользователю надоест отвечать на все запросы брандмауэра.
Категория: Информационная безопасность | Просмотров: 79 | Добавил: GERT | Теги: Ошибочное делегирование прав доступ
Всего комментариев: 0
avatar
Вход на сайт

Поиск
Календарь
«  Февраль 2017  »
ПнВтСрЧтПтСбВс
  12345
6789101112
13141516171819
20212223242526
2728
Архив записей
Блог
[26.02.2017]
Эдем (0)
[26.02.2017]
Глава III (0)
[26.02.2017]
Глава 4 (0)
[27.02.2017]
Глава 21 (0)
[26.02.2017]
Глава 9 (0)
Новости
[23.02.2017]
Угрозы информационной безопасности (0)
[24.02.2017]
Административный домен (0)
[23.02.2017]
ГРИИБ (0)
[23.02.2017]
Повышение привилегий (0)
[23.02.2017]
Уязвимость нулевого дня (0)
Форум
  • Batman: Arkham City Lockdown (0)
  • Рекомендации комментаторам. (0)
  • Нарушения и наказания: ответы на вопросы. (0)
  • Hotline Miami (2012) (0)
  • HITMAN (2015) (0)
  • Reklamchik.at.ua © 2019