Certaines attaques exploitent le décalage temporel entre le moment où une application vérifie la valeur d’une variable et le moment où elle l’exploite. On parle alors d’une «race condition». Parmi les propositions suivantes, laquelle concerne un problème de ce type ?
[A] TOCTOU
[B] JIT
[C] XSS
[D] Buffer overflow
JIT (Just-in-time) n’est pas un problème lié au temps mais un principe de sécurité qui complète celui du moindre privilège en imposant des contraintes de temps dans le contrôle d’accès.
XSS (Cross-Site Scripting ) est une vulnérabilité spécifique aux applications Web. Ce n’est pas un problème de « race condition ».
Les vulnérabilités de type « Buffer overflow » ou en français dépassement (ou débordement) de mémoire tampon sont des vulnérabilités très courantes dans les logiciels mais tout comme les XSS elles n’entrent pas dans la catégorie « race condition ».
La bonne réponse est la proposition [A] TOCTOU
Une faiblesse applicative de type TOCTOU (Time of check, time of use) est effectivement un problème de « race condition ». Dans la formation CISSP de VERISAFE, je l’illustre par l’attaque sur le projet DAO dans la Blockchain Ethereum. Le 17 juin 2016, un attaquant a exploité ce défaut dans l’application pour siphonner pas moins de 3,6 millions d’ethers ce qui représentait à l’époque un montant d’environ 56 M$.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE
