TOCTOU 【Time-Of-Check to Time-Of-Use】 TOCTTOU

例えば、「あるファイルへの書き込み権限があるかチェックする」コードの後に「ファイルへの書き込みを行う」コードがある場合、ファイルが実際にはシンボリックリンクで、チェック直後に参照先が外部から変更されてしまう可能性がある。

その場合、実際に書き込みを行うファイルに対する権限のチェックは機能せず、アクセス権が無いはずのファイルの内容を書き換えてしまう誤作動が発生する。悪意の第三者が意図的にこうしたすり替えを行うことで、サイバー攻撃に悪用される場合もある（TOCTOU脆弱性）。

関連用語

CVE

(Common Vulnerabilities and Exposures)

競合状態

(レースコンディション)

CWE

(Common Weakness Enumeration)

CVSS

(共通脆弱性評価システム)

OWASP

(Open Web Application Security Project)

時刻型

(Time型)

エクスプロイト

(exploit)

アセット

(asset)

NVD

(National Vulnerability Database)

ビジネスロジック

(business logic)

Docker

ファイルシステム

(FS)

エコー

(echo)

MO

(光磁気ディスク)