Временное сгенерированное имя файла, не безопасное
Использование незащищенного временного файла ищет временные стандартные программы файла, которые не безопасны.
Если атакующий предполагает имя файла, сгенерированное стандартной временной стандартной программой файла, атакующий может:
Вызовите состояние состязания, когда вы сгенерируете имя файла.
Предварительно создайте файл того же имени, заполненного злонамеренным содержимым. Если ваша программа читает файл, файл атакующего может ввести вредоносный код.
Создайте символьную ссылку на файл, хранящий уязвимые данные. Когда ваша программа пишет во временный файл, уязвимые данные удалены.
Чтобы создать временные файлы, используйте более безопасную стандартную временную стандартную программу файла, такую как mkstemp
от POSIX.1-2001.
Кроме того, при создании временных файлов со стандартными программами, которые позволяют флаги, такие как mkostemp
, используйте флаг O_EXCL
исключения избегать условий состязания.
Группа: безопасность |
Язык: C | C++ |
Значение по умолчанию: 'off' |
Синтаксис командной строки: NON_SECURE_TEMP_FILE |
Удар: высоко |
ID CWE: 377, 922 |