Process crashes
进程崩溃
描述
崩溃是由于意外或未处理的行为造成的。它可能是由于缺少输入验证、不正确的序列化或不允许的操作等引起的。
攻击者可能会尝试寻找导致错误过程的代码路径,并试图通过潜在的漏洞执行任意代码。
崩溃可能会为攻击者提供有关系统及其内部细节的宝贵信息。崩溃还可能产生临时漏洞,或者留下可能被利用的未受保护的文件(例如内存转储 / memory dumps)。
建议
为了安全地处理应用程序中的异常和崩溃:
- 捕获所有错误并进行正确处理
- 验证所有输入的类型和长度
- 不要生成包含个人信息的日志或抛出包含个人信息的错误
链接
- CWE-400: Uncontrolled Resource Consumption ('Resource Exhaustion')
- CWE-209: Information Exposure Through an Error Message
- CWE-20: Improper Input Validation
标准
- OWASP_MASVS_L1:
- MSTG_CODE_6
- OWASP_MASVS_L2:
- MSTG_CODE_6
- PCI_STANDARDS:
- REQ_6_2
- OWASP_MASVS_v2_1:
- MASVS_RESILIENCE_4