Process crashes
Plantages de processus
Description
Un plantage (crash) est le résultat de comportements inattendus ou non gérés. Il peut résulter d'un manque de validations des entrées, de sérialisations incorrectes ou d'opérations non autorisées, etc.
Un attaquant peut essayer de trouver le chemin d'exécution qui mène à la procédure défectueuse et tenter d'exécuter du code arbitraire par le biais de vulnérabilités potentielles.
Les plantages peuvent fournir à un attaquant des informations précieuses sur le système et ses détails internes. Les plantages peuvent également créer des vulnérabilités temporaires ou laisser des fichiers non protégés (ex. des vidages mémoire / memory dumps) pouvant être exploités.
Recommandation
Pour traiter de manière sécurisée les exceptions et les plantages dans l'application :
- Interceptez toutes les erreurs et gérez-les correctement
- Validez le type et la longueur de toutes les entrées
- Ne générez pas de logs et ne déclenchez pas d'erreurs contenant des informations personnelles
Liens
- CWE-400: Uncontrolled Resource Consumption ('Resource Exhaustion')
- CWE-209: Information Exposure Through an Error Message
- CWE-20: Improper Input Validation
Normes
- OWASP_MASVS_L1:
- MSTG_CODE_6
- OWASP_MASVS_L2:
- MSTG_CODE_6
- PCI_STANDARDS:
- REQ_6_2
- OWASP_MASVS_v2_1:
- MASVS_RESILIENCE_4