TOCTOU 漏洞

TOCTOU 漏洞(Time-Of-Check to Time-Of-Use,CWE-367)是一种特定的竞态条件:程序先检查某项资源属性(所有者、权限、内容),再像检查仍然成立那样对该资源进行操作。若攻击者能在两步之间替换该资源(典型手段是符号链接、重命名或共享内存),即可完全绕过检查。经典案例是 access() 后跟 open():攻击者在 access() 返回成功后,将路径替换为指向 /etc/shadow 的符号链接。防御措施包括使用将检查与使用合二为一的文件系统 API(带 O_NOFOLLOW 的 openat、fstat)、持有文件描述符而非路径、文件锁,以及更严格的沙箱边界。