常见线程安全问题之TOCTOU

最新推荐文章于 2025-05-03 16:50:52 发布
原创 最新推荐文章于 2025-05-03 16:50:52 发布 · 918 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #单例模式 #后端 #并发

创作内容丰富的干货文章很费心力,感谢点过此文章的读者,点一个关注鼓励一下作者,激励他分享更多的精彩好文,谢谢大家!

Time-Of-Check to Time-of-Use1 简称为 TOCTOU 或 TOCTTOU,是指在检查某个状态到使用某个状态之间存在时间间隔,而在这段间隔中,状态被其它人修改了,从而导致软件Bug 或系统漏洞。在《Java 并发编程实战》里,也称为“先检查后执行” (Check-then-Act)模式。

不管是写系统脚本、Java 程序、与数据库打交道,TOCTOU 都是常见的问题。我们先来看看“延迟初始化”(Lazy Initialization)问题2,它是一个典型的 TOCTOU 问题,也是几乎所有并发书籍会讨论的问题。

延迟初始化

延迟初始化的初衷是有一些初始化操作代价比较大,因此希望:

  1. 在调用时才真正执行初始化,不影响程序启动
  2. 初始化后,后续再调用方法,则使用的是初始化的结果

延迟初始化有多种表现形式,我们以“单例”(Singleton)的实现为例:

public static class LazyInitialization {
  private static ExpensiveObject instance;

  public static ExpensiveObject getInstance() {
    if (instance == null) {
      instance = new ExpensiveObject();
    }
    return instance;
  }
}

开始时先判断 instance 是否为空,如果为空则执行初始化操作(new 一个 ExpensiveObject 对象),最后返回初始化完成的对象。这是一个典型的 TOCTOU 的操作。

问题在于,如果有两个线程同时执行这段代码,可能执行顺序如下:

--------------- Thread A ----------------+--------------- Thread B -------------- 
if (instance == null) {                  | | if (instance == null) { // ① 
                                         | | instance = new ExpensiveObject(); 
  instance = new ExpensiveObject(); // ② | | 
return instance; // ③                    | | return instance; // ④
  • ① 中,虽然线程 A 已经判断,准备初始化,但是由于初始化未完成,因此线程 B 的条件依旧满足,也会进行初始化
  • 语句 ② 的执行,其实依赖 instance 为空,但实际执行时,这个条件已经被破坏了
  • 于是在 ③ 和 ④ 中,线程 A 和线程 B 得到了不同的 instance,无法达到“单例”的效果。

解法:保证原子性

我们可以看到,TOCTOU 的主要问题在于状态的检查和状态的使用整体上不是原子的,而前面的章节中我们知道 Java 中最简单的实现原子性的方式是使用内置锁(intrinsic lock),即 synchronized 关键字:

public static class LazyInitialization {
  private static ExpensiveObject instance;

  public synchronized static ExpensiveObject getInstance() {
    if (instance == null) {
      instance = new ExpensiveObject();
    }
    return instance;
  }
}

在 getInstance 方法前加上 synchronized 关键词,可以保证在同一时刻,只可能有一个线程在执行 getInstance 内的逻辑。这样保证了只会有一个线程在检查 instance 是否为空,且在状态使用之前,instance 不会被其它线程更改。换句话说,在状态的使用时,检查时得到的条件依旧成立。

当然,synchronized 是互斥锁,意味着即使初始化正确完成后,依然只有一个线程能执行代码,于是在高并发下性能不好,之后的章节中会介绍如何优化。

Java 外的 TOCTOU

Java 中的并发问题从形式上和使用数据库时遇到的并发问题很像,TOCTOU 问题也常见于数据库的使用中,例如使用数据库记录 API 的调用次数,则流程上,相当于一个事务中需要处理如下逻辑:

SELECT api_count FROM table WHERE name = '...';
(in Java: new_api_count = api_count + 1;)
UPDATE table SET api_count = <new_api_count> WHERE name = '...';

考虑有两个线程或进程同时执行这段逻辑,则同样的,可能出现:

------------- Process A -----------------+------------ Process B ----------------
SELECT api_count FROM ...     (=10)      |
                                         | SELECT api_count FROM ...     (=10)
                                         | new_api_count = api_count + 1 (= 11)
new_api_count = api_count + 1 (= 11)     |
UPDATE table SET ...          (= 11)     |
                                         | UPDATE table SET ...          (= 11)

于是预期是累加了两次,最终结果为 12,但由于并发问题导致了写丢失(Lost update)。

同上,要解决这个问题要想办法保证原子性,在 MySQL 里有两种方法:

  1. 使用 SELECT ... FOR UPDATE 加上悲观锁,保证后续操作的原子性
  2. 将 java 中实现的累加操作换成 MySQL 提供的原子操作: UPDATE table SET api_count = api_count + 1 WHERE name = '...'

小结

TOCTOU 问题的根源是使用状态时,其实依赖了之前的状态检查结果,而在检查到使用的这段时间里,状态被其它线程/进程修改了,于是依赖的条件被打破,使得对状态的使用不再正确。

解法是:将状态的检查和使用作为整体用锁保护起来,保证整体的原子性。Java 里最方便的是synchronized关键词,当然也可以用如 ReentrantLock 等机制。

其实线程安全问题,就是因为由代码顺序带来的逻辑预期被破坏了。如上例中,在执行初始化时经过了 if (instance == null) 的判断,instance == null 是初始化的大前提,但在执行时大前提被破坏了,此时再执行初始化本身就是错误的行为。

16、信息安全技术与应用详解
rice5的博客
07-21 1
本博客详细介绍了信息安全领域的核心技术与应用,包括数据分类与处理、加密技术(如PGP、GPG、数字签名算法)、访问控制模型(如Brewer-Nash模型)、安全系统(如SCADA系统和TPM)、密钥管理、安全防护技术(如沙箱和隔离)、物理安全措施、安全标准(如X.509和通用标准)、攻击类型(如已知明文攻击、TOCTOU攻击)以及安全策略等内容。博客还提供了常见加密算法、哈希算法安全性、灭火器适用情况等表格,并通过mermaid流程图展示了数据重新分类、数字签名验证、防火墙管理责任划分等流程。最后,通过Mi
7、系统安全:内存转储禁用与访问控制详解
u0v1w2x3的博客
05-15 2
本文详细探讨了系统安全中的两个重要主题:内存转储禁用与访问控制。通过代码示例和原理分析,介绍了如何在程序中禁用核心转储以保护敏感信息,并深入解析了Unix和Windows平台的访问控制机制。内容涵盖Unix的用户ID和组ID权限模型、特殊权限位,以及Windows的ACL和ACE机制,同时对比了两种系统的访问控制策略。文章还提供了最佳实践建议,包括最小权限原则、权限审查、竞态条件防范和安全审计,帮助开发者构建更安全的系统。
access() 导致的 TOCTOU 问题
m0_55940182的博客
11-23 810
需求:判断一个文件是否存在,不存在创建这个文件。上面代码在执行静态扫描是会报。
TOCTOU 缺陷解决
chengxiaili的博客
08-24 1171
Time Of Check To Time Of Use 问题的一种可能解决方法
操作系统安全:漏洞识别与防御策略
weixin_35748962的博客
05-03 316
本文深入探讨了操作系统中存在的多种安全漏洞及其防御机制。从TOCTOU攻击到输入处理不当,从错误处理到内存和缓冲区漏洞,以及指针/对象解引用、资源耗尽、弱加密、DLL注入和API攻击等问题,本文详细解释了这些漏洞的原理和对系统可能造成的危害。同时,还探讨了权限提升、操作系统服务等攻击面,以及如何通过合理的安全措施来减少漏洞带来的风险。
关于TOCTTOU攻击的简介
胡图图
01-07 2488
关于TOCTTOU攻击的简介 转载自:https://www.cnblogs.com/liqiuhao/p/9450093.html 前言 最近看到了一些以at结尾的Linux系统调用,在维基百科上面说这可以防御一些特定的TOCTTOU攻击,而在TOCTTOU对应页面中并没有中文版的介绍,而且百度的结果也比较少,于是决定抽空写一个关于 TOCTTOU攻击的简介,其中部分参考了英文版的维基百科。 什么是竞争条件与TOCTTOU? 在电路设计、软件开发、系统构建中,如果一个模块的...
TOCTTOU 测试
qq_36251126的博客
09-21 423
time-of-checkto-time-of-use (TOCTTOU)
防范TOCTOU竞态条件攻击
常备不懈
05-25 1882
在软件开发过程中,我们常常会遇到需要在使用资源之前检查其状态的情况。然而,如果资源的状态在检查和使用之间发生了变化,那么检查的结果可能会失效,导致软件在资源处于非正常状态时执行无效操作。这种时间检查到使用时间(TOCTOU)的竞态条件攻击,攻击者可以利用这一点干扰处理流程,访问安全区域或破坏业务逻辑流。
良好的并发编程习惯之利用线程安全
彩虹地带
11-28 1253
也因此,常见并发需求通常也集中在对集合(collection)类的读写上。日常的线程安全问题通常会落在原始( primitive)类型和集合(Collection)类,而使用对应的线程安全类通常就能直接解决问题。我们日常开发中的并发需求,通常用 JUC 中的类替换相应的原始类型或集合类,就可以达到线程安全。两种同步原语,在性能要求高的一些场景下,用它们来实现细粒度的同步会极大增加代码的复杂程度,性能也不好。虽然可能显而易见,要注意的是只有包装类提供的方法才保证是原子的,而里面存储的内容则没有。
RunC TOCTOU逃逸CVE-2021-30465分析
YDclub的博客
08-18 640
背景 国外安全研究员champtar[1]在日常使用中发现Kubernetes tmpfs挂载存在逃逸现象,研究后发现runC存在条件竞争漏洞,可以导致挂载逃逸[2]。 关于条件竞争TOCTOU和一些linux文件基础知识可见这篇文章《初探文件路径条件竞争 - TOCTOU&CVE-2019-18276》[3]。 CVE-2021-30465在Redteam的研究者视角中比较鸡肋,因为需要K8S批量创建POD的权限。但在产品安全的视角恰恰相反,针对Caas(Container as a ser
代码审计与web安全-第三章作业
m0_72471315的博客
03-20 1181
代码审计第三章作业
TOCTTOU错误
Escaping
01-17 697
openat函数是POSIX.1最新版本中新增的一类函数之一,希望解决 两个问题。 第一,让线程可以使用相对路径名打开目录中的文件,而不 再只能打开当前工作目录。同一进程中的所有 线程共享相同的当前工作目录,因此很难让同一进程的多个不同线程在 同一时间工作在不同的目录中 第二,可以避免time-of-check-to-time-ofuse(TOCTTOU)错误。 TOCTTOU错误...
漏洞原理笔记
kernweak的博客
06-14 1350
按利用原理分类: 拒绝服务,缓冲区溢出,内存篡改,设计缺陷。 拒绝服务 比如if(MmIsAdressVaild(buffer)),只比较第一个字节。如果传一页最后一个字节,长度大于2,就会发生问题。 任意地址写入任意数据 比如neitherio不做Probeforread/write,就r3传入一个内核地址,一般是要被调用的函数,想办法将该地址值设为0,然后一个办法在r3分配一个0地址...
C/C++ 代码安全(四)
密码小仙女
08-29 830
规则: 不要访问已经释放的内存。使用引用被free( ) 或者 realloc( ) 函数调用释放的内存指针值是未确定的。 需要注意的一点是,realloc( ) 可能会释放原来的指针。 规则: 在不需要时释放动态分配的内存。 规则: 动态分配和复制包含灵活数组成员结构。为了避免未定义行为,包含灵活数组成员的结构应该始终动态分配,具有灵活数组成员的结构必须: @使用动态存储期间(...
【kernel exploit】CVE-2017-10661 链表漏洞与TOCTTOU——任意地址写
panhewu9919的博客
04-01 1206
【kernel exploit】CVE-2017-10661 链表漏洞与TOCTTOU——任意地址写 影响版本:Linux 2.6.27~4.10.14 4.10.15已修补,通过syzkaller发现。 7.0分 测试版本:Linux-4.10.14 测试环境下载地址 编译选项: CONFIG_SLAB=y General setup —> Choose SLAB allocator (SLUB (Unqueued Allocator)) —> SLAB $ wget https:/
Time of check to time of use
走马观花
03-19 2503
http://en.wikipedia.org/wiki/Time_of_check_to_time_of_use In software development, time of check to time of use (TOCTTOU or TOCTOU, pronounced "TOCK too") is a class of software bug caused by ch
CWE --- Time-of-check Time-of-use (TOCTOU) 例子 和 mitigation
guilanl的专栏
05-09 3573
原文地址: https://cwe.mitre.org/data/definitions/367.html Example 1 The following code checks a file, then updates its contents. (Bad Code) Example Languages: C and C++ 
copy_from_user 和 toctou
guilanl的专栏
05-03 769
copy_from_user 是把数据从用户空间 copy 到 内核空间。       driver 先 把数据从用户空间copy 到内核空间,然后再进行 check.       因为如果数据在user 空间 check 之后再copy 到内核,check 后到copy 之间的时间,数据有可能会被改变。参见TOCTOU 问题。       所以把数据 copy 到 内核空间,内核空间不太容
这是windbg中的内存程序代码,这段代码有什么问题没有?
最新发布
07-18
<think>我们正在分析一段汇编代码,并希望使用Windbg来检查其中是否存在错误或异常行为。以下是对代码的详细分析和在Windbg中的调试建议。 ### 代码分析回顾 1. **原子加法操作** `lock xadd qword ptr [rdx+4F8h], rax` - 原子地将`rax`的值加到内存地址`[rdx+4F8h]`处,同时将原值存入`rax`。 2. **读取状态标志** `movzx ecx, byte ptr [rdx+73Bh]` - 读取`rdx+73Bh`处的一个字节,零扩展至`ecx`。 3. **位掩码操作** `and cl, 60h` - 保留`cl`的第5位和第6位(二进制`01100000`),其余位清零。 4. **状态检查** `cmp cl, 40h` - 比较`cl`是否等于`40h`(二进制`01000000`),即第6位为1,第5位为0。 5. **条件跳转** `jne nt!MiRestoreTransitionPte+0x167` - 如果状态不匹配,则跳转到指定地址;否则继续执行。 6. **原子递增操作** `lock inc qword ptr [rdx+750h]` - 仅当状态匹配时,原子递增`[rdx+750h]`处的值。 ### 潜在问题分析 1. **内存地址有效性** - `rdx`作为基址寄存器,其值是否有效?如果`rdx`指向无效内存,则所有操作都会导致访问违规(Access Violation)。 - 在Windbg中,我们可以检查`rdx`的值是否在合法范围内,例如是否属于用户模式或内核模式的有效地址。 2. **原子操作对齐** - `lock`前缀要求操作数在内存中自然对齐(例如,qword按8字节对齐)。如果`rdx+4F8h`或`rdx+750h`未对齐,可能导致性能下降或异常(取决于处理器架构)。 - 在Windbg中,可以使用`!address`命令检查内存地址的对齐情况。 3. **状态字节的同步** - 状态字节`[rdx+73Bh]`可能在多线程环境下被修改,但这里没有使用原子操作读取。如果该字节正在被其他线程修改,可能读取到不一致的值。 - 然而,由于状态检查仅用于条件递增,即使偶尔读取不一致,也可能不会导致严重错误(取决于具体业务逻辑)。 4. **计数器的溢出** - 原子递增操作`lock inc`可能导致计数器溢出(如果计数器达到最大值)。但在64位系统中,qword计数器溢出概率极低。 ### Windbg调试步骤 以下是在Windbg中分析此代码片段的建议步骤: #### 1. **设置断点** 在目标地址设置断点,例如: ```windbg bp fffff801`5334f487 ``` 当程序执行到此处时,Windbg会中断。 #### 2. **检查寄存器状态** 中断后,检查相关寄存器的值: ```windbg r rdx, rax, rbx, rdi, rbp ``` - 确认`rdx`是否指向有效内存。 #### 3. **检查内存地址有效性** 使用`!address`命令检查`rdx+4F8h`和`rdx+750h`: ```windbg !address @rdx+4F8 !address @rdx+750 ``` 输出应显示内存状态为"Commit"且具有读写权限。 #### 4. **监视内存内容** - 查看状态字节: ```windbg db @rdx+73B L1 ``` - 查看计数器值: ```windbg dq @rdx+4F8 L1 dq @rdx+750 L1 ``` #### 5. **跟踪执行流程** 使用单步执行(`t`)观察代码分支: - 在`cmp cl, 40h`后,观察`jne`是否跳转。 - 如果跳转,则`lock inc`不会执行。 #### 6. **检查多线程竞争** 如果怀疑多线程问题,可以使用`!locks`查看锁状态,或使用`!runaway`查看线程执行时间。 ### 常见错误场景 1. **无效内存访问** - 如果`rdx`无效,会导致页面错误(Page Fault)。在Windbg中,可以通过`!analyze -v`分析崩溃dump。 2. **状态标志不一致** - 如果状态标志因未同步而读取错误,可能导致条件分支错误执行。可以尝试在状态字节访问处添加内存断点: ```windbg ba r1 @rdx+73B ``` 当该字节被修改时中断,观察修改线程和上下文。 3. **计数器溢出** - 检查计数器值是否接近最大值(0xFFFFFFFFFFFFFFFF): ```windbg ? @rdx+4F8 dq <address> L1 ``` ### 总结 在Windbg中分析此代码的关键点: - 验证内存地址的有效性和对齐性 - 监视状态标志和计数器的值 - 通过断点和单步跟踪执行流程 - 检查多线程环境下的竞争条件 如果发现内存访问违规或状态标志异常,则代码存在潜在问题;否则,代码行为符合预期[^1][^2]。 §§相关问题§§ 1. 如何在Windbg中设置条件断点以捕获特定状态标志? 2. 多线程竞争导致的状态不一致如何调试? 3. Windows内核中有哪些常用的同步机制来避免此类问题? 4. 如何检测64位计数器溢出? [^1]: Windbg调试器使用指南 [^2]: C++程序内存问题分析技巧</think>### 在 Windbg 中分析内存程序代码的步骤 #### 1. **定位代码位置** 在 Windbg 中执行以下命令查看目标地址的汇编代码: ```windbg u fffff801`5334f487 ``` 这会显示从指定地址开始的汇编指令,确认是否与提供的代码一致[^1]。 #### 2. **检查内存有效性** 对关键内存地址进行有效性验证: ```windbg !address rdx+4F8 ; 检查 [rdx+4F8h] 的合法性 !address rdx+73B ; 检查 [rdx+73Bh] 的合法性 ``` 输出应显示 `MEM_COMMIT` 状态,若出现 `PAGE_NOACCESS` 则存在非法访问风险[^2]。 #### 3. **分析原子操作风险** 重点关注原子指令: ```windbg !locks ; 检查系统锁状态 !runaway 7 ; 查看线程占用时间 ``` 需要确认: - `lock xadd` 和 `lock inc` 访问的内存地址是否对齐(8字节对齐) - 是否存在多线程竞争(通过线程堆栈分析) #### 4. **验证状态标志逻辑** 对状态检查部分进行条件断点调试: ```windbg bp /1 fffff801`5334f49a ".if (byte(rdx+73Bh) & 0x60 == 0x40) {} .else {gc}" ``` 此断点会在 `cmp cl,40h` 时触发,并自动过滤不符合条件的情况[^1]。 #### 5. **关键内存监控** 设置硬件数据断点监控状态字节: ```windbg ba r1 rdx+73B ; 当 [rdx+73Bh] 被修改时中断 ``` 中断后使用 `kv` 查看调用堆栈,定位修改此字节的代码路径。 #### 6. **错误模式分析** 常见异常行为检测: ```windbg !exchain ; 检查异常处理链 .if (dq(rdx+750h) > 0xffffffffffffff00) { .echo "计数器溢出风险" } ``` 需警惕: - 原子计数器溢出(64位计数器虽大但仍可能溢出) - 状态字节被非同步修改 - `rdx` 寄存器意外被修改 #### 分析结论要点 1. **原子操作安全** - `lock` 前缀确保多核原子性 ✅ - 但需验证 `rdx+4F8h` 和 `rdx+750h` 地址有效性 2. **状态标志风险** - `[rdx+73Bh]` 的读取未加锁 ❗ - 可能发生 TOCTOU 问题(检查与使用间的时间差) 3. **内存布局隐患** - 偏移量 `4F8h`/`750h`/`73Bh` 跨越多缓存行(典型缓存行64字节) - 可能导致 **false sharing** 性能问题 建议在 Windbg 中执行完整上下文分析: ```windbg !thread -1 ; 检查当前线程状态 !pte rdx ; 验证内存页属性 dt nt!_KTHREAD @$thread ; 分析线程结构 ``` > 关键提示:从内存角度看,`rdx` 很可能指向某个内核对象(如 _KPROCESS),偏移量对应内部计数器字段[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夏日彩虹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值