Chalkash deputat muammosi - Confused deputy problem

Yilda axborot xavfsizligi, chalkash deputat muammosi nega ko'pincha misol sifatida keltiriladi qobiliyatga asoslangan xavfsizlik muhim ahamiyatga ega. A chalkashib ketgan deputat qonuniy, ko'proq imtiyozli hisoblanadi kompyuter dasturi tizim tomonidan o'z vakolatlarini suiiste'mol qilish uchun boshqa dastur tomonidan aldanib. Bu ma'lum bir turdagi imtiyozlarning kuchayishi.

Imkoniyat tizimlari chalkash deputatlik muammosidan himoya qiling, aksincha kirishni boshqarish ro'yxati asoslangan tizimlar buni qilmaydi.^[1]

Misol

Prototip chalkash deputat Barni Fayf

Sarosimaga tushgan deputatning asl misolida,^[2] taqdim etadigan dastur mavjud jamlama boshqa dasturlarga xizmatlar. Odatda, mijoz dasturi kirish va chiqish fayllari nomini belgilaydi va serverga mijozga ega bo'lgan fayllarga bir xil kirish huquqi beriladi.

Kompilyator xizmati foydalanishga haq to'laydi va kompilyator xizmati o'z hisob-kitob ma'lumotlarini faylga (dublyaj) saqlaydi BILL) faqat unga kirish huquqiga ega.

Mijoz xizmatni chaqiradigan va uning chiqish faylini nomlaydigan vaziyatda BILL, chalkash o'rinbosar muammosi yuzaga keladi: xizmat chiqish faylini ochadi. Mijoz ushbu faylga kira olmagan bo'lsa ham, xizmat shunday qiladi, shuning uchun ochilish muvaffaqiyatli bo'ladi. Server kompilyatsiya natijasini faylga yozadi (bu erda BILL) odatdagidek, uni ustiga yozib qo'ying va shu bilan hisob-kitob ma'lumotlarini yo'q qiling.

Sarosimaga tushgan deputat

Ushbu misolda kompilyatsiya xizmati - bu deputat, chunki u mijozning talabiga binoan ishlaydi. Xizmat "chalkash" deb hisoblanadi, chunki uning hisob-kitob faylini yozish uchun aldangan.

Har qanday dastur faylga kirishga harakat qilganda operatsion tizim ikkita narsani bilishi kerak: dastur qaysi faylni so'raydi va dasturda faylga kirish uchun ruxsat bormi. Misolda, fayl "BILL" nomi bilan belgilanadi. Server mijoz nomidan fayl nomini oladi, lekin mijozda faylni yozish uchun ruxsat bor yoki yo'qligini bilmaydi. Server faylni ochganda tizim mijozning emas, balki serverning ruxsatidan foydalanadi. Fayl nomi mijozdan serverga uzatilganda, ruxsat unga mos kelmadi; tizim tomonidan jim va avtomatik ravishda ruxsat oshirildi.

Hujum uchun billing fayli satr sifatida ko'rsatilgan nom bilan belgilanishi muhim emas. Muhim jihatlar:

faylni belgilovchi faylga kirish uchun zarur bo'lgan to'liq vakolatlarga ega emas;
serverning faylga o'z ruxsatidan bevosita foydalaniladi.

Boshqa misollar

A saytlararo so'rovlarni qalbakilashtirish (CSRF) - bu ishlatilgan aralash deputat hujumiga misol veb-brauzer veb-ilovaga qarshi sezgir harakatlarni amalga oshirish. Ushbu hujumning keng tarqalgan shakli veb-dastur brauzer tomonidan yuborilgan barcha so'rovlarni tasdiqlash uchun cookie-fayllardan foydalanganda yuz beradi. JavaScript-ni ishlatib, tajovuzkor brauzerni tasdiqlangan HTTP so'rovlarini yuborishga majbur qilishi mumkin.

The Samy kompyuter qurti ishlatilgan saytlararo skript (XSS) brauzerning tasdiqlangan MySpace sessiyasini chalkash deputatga aylantirish uchun. XSS-dan foydalangan holda, gijja brauzerni MySpace-ning xabari sifatida qurtning bajariladigan nusxasini yuborishga majbur qildi, keyin uni yuqtirgan foydalanuvchining do'stlari ko'rib chiqdilar va bajardilar.

Kliklarni tortib olish foydalanuvchi chalkash o'rinbosar vazifasini bajaradigan hujumdir. Ushbu hujumda foydalanuvchi veb-saytni (tajovuzkor tomonidan boshqariladigan veb-sayt) zararsiz ravishda ko'rib chiqayapman deb o'ylaydi, lekin aslida ular boshqa veb-saytda sezgir harakatlar qilish uchun aldanib qolishadi.^[3]

An FTP-ga qarshi hujum tajovuzkorning qo'mondon yordamida tajovuzkor mashinasi kirish imkoni bo'lmagan TCP portlariga bilvosita ulanishiga imkon berishi mumkin FTP chalkashib ketgan deputat sifatida server.

Yana bir misol bilan bog'liq shaxsiy xavfsizlik devori dasturiy ta'minot. Bu ma'lum dasturlar uchun Internetga kirishni cheklashi mumkin. Ba'zi ilovalar ma'lum bir URL-ga kirish uchun ko'rsatmalar bilan brauzerni ishga tushirish orqali buni chetlab o'tishadi. Ilova yo'q bo'lsa ham, brauzer tarmoq ulanishini ochish huquqiga ega. Xavfsizlik devori dasturiy ta'minoti, foydalanuvchini bitta dastur boshqasini ishga tushirganda, keyin tarmoqqa kiradigan holatlarda so'rash orqali hal qilishga urinishi mumkin. Biroq, foydalanuvchi tez-tez bunday kirishning qonuniy yoki yo'qligini aniqlash uchun etarli ma'lumotlarga ega emas - yolg'on ijobiy holatlar tez-tez uchraydi va hattoki zamonaviy foydalanuvchilar ham ushbu ko'rsatmalarga "OK" tugmachasini bosish odatiga aylanish xavfi mavjud.^[4]

Hokimiyatni suiiste'mol qiladigan har bir dastur chalkash deputat emas. Ba'zida vakolatdan suiiste'mol qilish shunchaki dastur xatosi natijasidir. Chalkashib ketgan deputatlik muammosi ob'ektning belgilanishi bir dasturdan ikkinchisiga o'tkazilganda yuzaga keladi va unga tegishli ruxsatnoma istalgan tomon tomonidan aniq harakat qilmasdan, o'zboshimchalik bilan o'zgaradi. Bu hiyla-nayrangdir, chunki ikkala tomon ham hokimiyatni o'zgartirish uchun aniq bir narsa qilmagan.

Yechimlar

Ba'zi tizimlarda operatsion tizimdan boshqa mijozning ruxsatlaridan foydalangan holda faylni ochishni so'rash mumkin. Ushbu yechim ba'zi kamchiliklarga ega:

Bu server tomonidan xavfsizlikka aniq e'tibor berishni talab qiladi. Sodda yoki beparvo server bu qo'shimcha qadamni qilmasligi mumkin.
Agar server o'z navbatida boshqa xizmatning mijozi bo'lsa va faylga kirish huquqini berishni xohlasa, to'g'ri ruxsatni aniqlash qiyinlashadi.
Bu mijozdan olingan ruxsatnomalarni suiste'mol qilmaslik uchun serverga ishonishini talab qiladi. Shuni esda tutingki, server va mijozning ruxsatlarini kesib o'tish ham muammoni hal qilmaydi, chunki keyinchalik serverga o'zboshimchalik bilan ishlaydigan mijozlar uchun harakat qilish uchun juda keng ruxsatlar berilishi kerak (har doim, ma'lum bir so'rov uchun kerak bo'lmasdan).

Chalkashtirib qo'yilgan deputatlik muammosini hal qilishning eng oddiy usuli - bu ob'ekt nomini va shu ob'ektga kirish uchun ruxsatni birlashtirish. Aynan shu narsa qobiliyat bu.

Tuzuvchi misolida qobiliyat xavfsizligidan foydalanib, mijoz serverga chiqish fayliga qobiliyatini beradi, masalan fayl tavsiflovchi, fayl nomidan ko'ra. Hisob-kitob fayliga qobiliyati yo'qligi sababli, u ushbu faylni chiqish uchun belgilay olmaydi. In saytlararo so'rovlarni qalbakilashtirish Masalan, "xoch" saytida berilgan URL veb-brauzer mijozidan mustaqil ravishda o'z vakolatlarini o'z ichiga oladi.

Shuningdek qarang

Setuid Unix-da bajariladigan fayllar
Atrof-muhit vakolati

Adabiyotlar

^ "ACL yo'q". sourceforge.net.
^ "Arxivlangan nusxa". Arxivlandi asl nusxasi 2003-12-05 kunlari. Olingan 2003-12-31.CS1 maint: nom sifatida arxivlangan nusxa (havola)
^ "klikmaking: chalkash deputat yana minadi!". sourceforge.net.
^ Alfred Spiessens: Xavfsiz hamkorlikning namunalari, doktorlik dissertatsiyasi. http://www.evoluware.eu/fsp_thesis.pdf 8.1.5-bo'lim

Tashqi havolalar

Norman Xardi, Chalkash deputat: (yoki nima uchun imkoniyatlar ixtiro qilingan bo'lishi mumkin), ACM SIGOPS operatsion tizimlari sharhi, 22-jild, 4-son (1988 yil oktyabr).
Imkoniyatlar nazariyasi bir nechta manbalardan (Norm Hardi tomonidan mujassamlangan).
Everything2: chalkash o'rinbosar (ba'zi kirish matni).

[1] "ACL yo'q". sourceforge.net.

[2] "Arxivlangan nusxa". Arxivlandi asl nusxasi 2003-12-05 kunlari. Olingan 2003-12-31.CS1 maint: nom sifatida arxivlangan nusxa (havola)

[3] "klikmaking: chalkash deputat yana minadi!". sourceforge.net.

[4] Alfred Spiessens: Xavfsiz hamkorlikning namunalari, doktorlik dissertatsiyasi. http://www.evoluware.eu/fsp_thesis.pdf 8.1.5-bo'lim

[1]

[2]

[3]

[4]

Ob'ekt qobiliyati xavfsizlik
Tushunchalar	Eng kam imtiyoz printsipi (PoLP) Chalkash deputat muammosi Atrof-muhit vakolati Fayl tavsiflovchi C-ro'yxat Ob'ekt qobiliyatining modeli Imkoniyatlarga asoslangan xavfsizlik Imkoniyatlarga asoslangan adreslash Zookoning uchburchagi Petnames
OS yadrolari	Gidra NLTSS KeyKOS EROS CapROS iMAX 432 Midori seL4 Genod Fuşya Kapsikum
Dasturlash tillari	Joule E Jo-E Kajita
Fayl tizimlari	Tahoe-LAFS
Ixtisoslashtirilgan apparat	Flex Plessey tizimi 250 Kembrij CAP IBM tizimi / 38 Intel iAPX 432 BiiN