Process crashes
プロセスのクラッシュ
説明
クラッシュは、予期しない動作や処理されていない動作の結果として発生します。入力の検証漏れ、不適切なシリアル化、許可されていない操作などが原因となる場合があります。
攻撃者は、欠陥のあるプロシージャにつながるコードパスを見つけ出し、潜在的な脆弱性を介して任意のコードを実行しようとする可能性があります。
クラッシュにより、システムとその内部に関する貴重な情報が攻撃者に漏えいする可能性があります。また、クラッシュによって一時的な脆弱性が生じたり、悪用される恐れのある保護されていないファイル(メモリダンプなど)が残されたりすることもあります。
推奨事項
アプリケーション内の例外とクラッシュに安全に対処するため:
- すべてのエラーをキャッチし、適切に処理する
- すべての入力の型と長さを検証する
- 個人情報を含むログを生成したり、エラーをスローしたりしない
リンク
- CWE-400: Uncontrolled Resource Consumption ('Resource Exhaustion')
- CWE-209: Information Exposure Through an Error Message
- CWE-20: Improper Input Validation
規格
- OWASP_MASVS_L1:
- MSTG_CODE_6
- OWASP_MASVS_L2:
- MSTG_CODE_6
- PCI_STANDARDS:
- REQ_6_2
- OWASP_MASVS_v2_1:
- MASVS_RESILIENCE_4