エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
やられアプリ BadTodo - 25 TOCTOU競合 - demandosigno
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
やられアプリ BadTodo - 25 TOCTOU競合 - demandosigno
前回:やられアプリ BadTodo - 24.3 NULLバイト攻撃(+XSS) - demandosigno TOCTOU(トックトゥー)Tim... 前回:やられアプリ BadTodo - 24.3 NULLバイト攻撃(+XSS) - demandosigno TOCTOU(トックトゥー)Time of check to Time of use. ある条件をチェック (check) したあと、その結果を行使 (use) するまでに変更が発生することで引き起こされるバグの一種。競合状態の一例。 まったく同一のIDで登録できてしまう。同一のファイル名でアップロードできてしまう。その結果、本来のユーザーでない人に機密情報が洩れる事故などが想定されます。 というわけで、最初はBadTodoの新規登録部分に目を付けて確認してみました。実際下記の徳丸さんの記事でもそこが言及されています。 www.itmedia.co.jp しかしながら「Docker版 BadTodo Ver 2.1.0」では新規登録部分に問題は見つけられませんでした。「Ver 1