本文介绍了不受控制的资源消耗(CWE-400)缺陷,这是一种可能导致拒绝服务的软件安全问题。讨论了其构成条件,如资源分配限制缺失,资源未正确关闭等,以及可能导致的后果,如系统变慢、崩溃或合法用户被锁定。文章提出了防御措施,如设计节流机制、限制数据库访问和跟踪用户请求速率。并以代码样例说明了如何使用Wukong软件检测和修复此类缺陷。
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识!
该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。
悟空云课堂 | 第三十二期:不受控制的资源消耗(CWE-400:Uncontrolled Resource Consumption)
01 什么是不受控制的资源消耗缺陷?
软件无法正确控制有限资源的分配和维护,从而使参与者无法影响所消耗的资源量,最终导致可用资源的耗尽。有限的资源包括内存,文件系统存储,数据库连接池条目和CPU。
如果攻击者可以触发这些有限资源的分配,但是资源的数量或大小不受控制,则攻击者可能会导致拒绝服务,从而消耗所有可用资源。这将阻止有效用户访问该软件,并且可能对周围环境产生影响。
例如,循环内字符串拼接是不受控制的资源消耗缺陷中的一个子类。
02 不受控制的资源消耗缺陷的构成条件有哪些?
1、缺少分配资源数量的限制;
2、在到达关闭阶段之前,将丢失对资源的所有引用;
3、处理后不关闭/返回资源。
03 不受控制的资源消耗缺陷会造成哪些后果?
资源耗尽的最常见结果是拒绝服务。该软件可能会变慢,由于未处理的错误而崩溃或将合法用户锁定。在某些情况下,有可能在资源耗尽的情况下强制软件“无法打开”。然
最低0.47元/天 解锁文章
834
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
