在不受信任的搜索路径(cwe - 426),用户可以定义PATH环境变量引起的产品搜索的目录库加载。产品的目的的控制范围将包括“资源只修改安装产品的人。”The PATH effectively changes the definition of this sphere so that it overlaps the attacker's sphere of control.
“控制范围”是一组资源和行为都可以访问的一个演员,或一组演员。产品的安全模型通常会定义多个领域,可能是含蓄的。例如,服务器可能会定义一个范围为“管理员”可以与子目录下创建新的用户帐户/home/server/,和第二个球可能覆盖的用户可以创建或删除文件在自己的子目录。第三个领域可能是“用户认证产品安装的操作系统。”Each sphere has different sets of actors and allowable behaviors.
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关视图”架构概念”(cwe - 1008)
