C - stat()， fstat()， lstat()， fopen();如何编写TOCTOU保护系统独立的代码 - c - stat(), fstat(), lstat(), and fopen(); how to write TOCTOU protected system independent code 小贝子编程网

我已经处理了几个星期的问题，现在更新20年的代码，需要是系统独立的(工作在Linux和Windows)。它涉及到检查时间、使用时间(TOCTOU)问题。我在这里做了一个线索，但它并没有走得很远，在思考了一段时间并深入研究了这个问题之后，我想我对我的问题有了更好的理解。也许我也可以问得更好一点……

从我所读到的，代码需要检查文件是否存在，如果它是可访问的，打开文件，做一些操作，最后关闭文件。似乎最好的方法是调用lstat()，调用fopen()，调用fstat()(以排除TOCTOU)，然后执行操作并关闭文件。

然而，我一直认为lstat()和fstat()是POSIX定义的，不是 C标准定义的，排除了它们对系统无关程序的使用，就像open()不应该用于交叉兼容性一样。你将如何实现这一点?

如果你看我的第一篇文章，你可以看到20年前的开发人员使用C预处理器将代码切割成交叉兼容的部分，但即使我这样做了，我也不知道用什么来代替lstat()或fstat()(它们的windows对应)。

编辑:为这篇文章添加了简短的代码;如果有不清楚的地方，请转到原文

#ifdef WIN32
    struct _stat buf;
#else
    struct stat buf;
#endif //WIN32
    FILE *fp;
    char data[2560];
    // Make sure file exists and is readable
#ifdef WIN32
    if (_access(file.c_str(), R_OK) == -1) {
#else
    if (access(file.c_str(), R_OK) == -1) {
#endif //WIN32
        char message[2560];
        sprintf(message, "File '%s' Not Found or Not Readable", file.c_str());
        throw message;
        }
    // Get the file status information
#ifdef WIN32
    if (_stat(file.c_str(), &buf) != 0) {
#else
    if (stat(file.c_str(), &buf) != 0) {
#endif //WIN32
        char message[2560];
        sprintf(message, "File '%s' No Status Available", file.c_str());
        throw message;
        }
    // Open the file for reading
    fp = fopen(file.c_str(), "r");
    if (fp == NULL) {
        char message[2560];
        sprintf(message, "File '%s' Cound Not be Opened", file.c_str());
        throw message;
    }
    // Read the file
    MvString s, ss;
    while (fgets(data, sizeof(data), fp) != (char *)0) {
        s = data;
        s.trimBoth();
        if (s.compare( 0, 5, "GROUP" ) == 0) {
            //size_t t = s.find_last_of( ":" );
            size_t t = s.find( ":" );
            if (t != string::npos) {
                ss = s.substr( t+1 ).c_str();
                ss.trimBoth();
                ss = ss.substr( 1, ss.length() - 3 ).c_str();
                group_list.push_back( ss );
            }
        }
    }
    // Close the file
    fclose(fp);
}

检查文件是否存在并可以打开的可靠方法是尝试打开它。如果它被打开，一切都好。如果没有打开，你可以考虑花时间分析出什么问题了。

access()函数正式地问了一个与你所想的不同的问题;它询问"真实的用户ID或真实的组ID是否可以访问文件"，但程序将使用有效的用户ID或有效的组ID访问文件。如果您的程序没有运行SUID或SGID，并且没有从运行SUID或SGID的程序启动—这是正常情况—那就没有区别了。但问题是不同的。

使用stat()或lstat()似乎没有帮助。特别是，lstat()只告诉您是否从符号链接开始，但代码并不关心这个。

access()和stat()调用都为您提供了TOCTOU漏洞窗口;文件可以在报告文件存在后删除，也可以在报告文件不存在后创建。

你应该简单地调用fopen()，看看它是否工作;代码将更简单，更能抵抗TOCTOU问题。您可能需要考虑是否使用open()及其所有额外控件(O_EXCL等)，然后将文件描述符转换为文件指针(fdopen())。

所有这些都适用于Unix端。

细节会有所不同，但在Windows方面，您仍然最好尝试打开文件并对失败做出适当的反应。

在这两个系统中，确保提供给open函数的选项是合适的。

C - stat()， fstat()， lstat()， fopen();如何编写TOCTOU保护系统独立的代码

相关内容

最新更新

热门标签：