Section outline

  • 本实验中的漏洞程序的根本问题是违反了最小权限原则。程序员知道用户运行此程序时可能会过于强大,因此引入了 access() 以限制用户的权力。然而,这不是正确的做法。更好的方法是应用最小权限原则,即如果用户不需要某种特权,则该特权需要被禁用。

    可以使用 seteuid 系统调用来暂时禁用 root 权限,并在必要时重新启用它。请使用此方法修复程序中的漏洞,然后再次进行攻击,看能否成功。请记录你的观察结果并提供解释。