Process crashes
Caídas de procesos
Descripción
Una caída (crash) es el resultado de comportamientos inesperados o no controlados. Puede ser el resultado de la falta de validaciones de entrada, serializaciones incorrectas u operaciones no permitidas, etc.
Un atacante podría intentar encontrar la ruta de código que conduce al procedimiento defectuoso e intentar ejecutar código arbitrario a través de posibles vulnerabilidades.
Las caídas pueden proporcionar a un atacante información valiosa sobre el sistema y sus detalles internos. Las caídas también pueden crear vulnerabilidades temporales o dejar archivos sin protección (por ejemplo, volcados de memoria o memory dumps) que pueden ser explotados.
Recomendación
Para abordar de forma segura las excepciones y las caídas en la aplicación:
- Capture todos los errores y gestiónelos correctamente
- Valide el tipo y la longitud de todas las entradas
- No genere registros (logs) ni emita errores que contengan información personal
Enlaces
- CWE-400: Uncontrolled Resource Consumption ('Resource Exhaustion')
- CWE-209: Information Exposure Through an Error Message
- CWE-20: Improper Input Validation
Estándares
- OWASP_MASVS_L1:
- MSTG_CODE_6
- OWASP_MASVS_L2:
- MSTG_CODE_6
- PCI_STANDARDS:
- REQ_6_2
- OWASP_MASVS_v2_1:
- MASVS_RESILIENCE_4