CWE-460: Improper Cleanup on Thrown Exception(对引发的异常的清理不当)

最新推荐文章于 2023-01-31 18:01:47 发布
最新推荐文章于 2023-01-31 18:01:47 发布
阅读量336 收藏
点赞数
分类专栏: 漏洞检查 文章标签: 异常处理不当 漏洞检测 漏洞扫描 资源清理 静态分析

 

 ID: 460

类型:变量
结构:简单

状态:草稿

描述

当抛出异常时,产品不会清除其状态或错误地清除其状态,从而导致意外的状态或控制流。

扩展描述

通常,当函数或循环变得复杂时,需要在整个执行过程中进行一定程度的资源清理。异常可能会干扰代码流,并防止发生必要的清理。

相关视图

与“研究层面”视图(CWE-1000)相关

同“体系结构概念”视图(CWE-1008)相关

与“开发层面”视图(CWE-699)相关

引入模式

阶段

说明

实现

实现:这个弱点是在实现架构安全策略的过程中造成的。

应用平台

语言

C (出现的可能性不确定)

C++ (出现的可能性不确定)

Java (出现的可能性不确定)

C# (出现的可能性不确定)

后果

范围

冲击

可能性

其它

技术冲击: 根据上下文而变

代码可能会处于糟糕的状态

 

被利用的可能性:

一般

示例

例1

参见下例.

(问题代码)

Example Language: Java 

public class foo {

public static final void main( String args[] ) {


boolean returnValue;
returnValue=doStuff();

}
public static final boolean doStuff( ) {


boolean threadLock;
boolean truthvalue=true;
try {


while(
//check some condition
) {


threadLock=true; //do some stuff to truthvalue
threadLock=false;

}

}
catch (Exception e){


System.err.println("You did something bad");
if (something) return truthvalue;

}
return truthvalue;

}

}

在此例中,线程可能不经意间被锁死。

应对措施

阶段: 实现

如果通过抛出异常而从循环或函数中中断,请确保发生清理,或者应该退出程序。使用很少抛出异常。

种属

关系

类型

ID

名称

属于

851

The CERT Oracle Secure Coding Standard for Java (2011) Chapter 8 - Exceptional Behavior (ERR)

属于

880

CERT C++ Secure Coding Section 12 - Exceptions and Error Handling (ERR)

属于

961

SFP Secondary Cluster: Incorrect Exception Behavior

属于

1141

SEI CERT Oracle Secure Coding Standard for Java - Guidelines 07. Exceptional Behavior (ERR)

plstudio1
关注
专栏目录
CWE:通病总结
mzhan017的博客
12-16 5017
文章目录网站398686 网站 https://cwe.mitre.org/data/definitions/686.html 398 风格问题,如果一个局部变量,可以放在一个更小的区域,而且满足使用,最好是将作用域缩小。但是需要注意不要搞错。检查工具有点时候,检查有问题。 [STYLE] (cwe=398, variableScope): The scope of the variable ‘left’ can be reduced., The scope of the variable ‘left’ c
九、异常处理Exception Handling)
最新发布
xiaobingshidabing的博客
03-12 1586
本篇文章是《ARM Cortex-A v7》编程手册第九章—Exception Handling的学习笔记。
CWE-130: Improper Handling of Length Parameter Inconsistency (长度参数不一致处理不当
plstudio1的博客
04-01 515
ID: 130 类型:基础 结构:简单 状态:未完成 描述 软件解析格式化的消息或结构,但不会处理或错误处理与关联数据的实际长度不一致的长度字段。 扩展描述 如果攻击者可以操纵与输入相关联的长度参数,使其与输入的实际长度不一致,则可以利用该参数使目标应用程序以意外的、可能是恶意的方式运行。这样做的一个可能动机是将任意大的输入传递给应用...
造成内存泄漏的异常处理
祝坤荣的随想
04-10 258
Memory Leak Due To Improper Exception Handling原文:https://dzone.com/articles/memory-leak-due-to-improper-exception-handling译:祝坤荣Pexels上的Andrea Vera Sasso拍摄的图片本文中,我们会讨论到我们在生产环境遇到的内存问题以及...
JHTP小结_第十一章_深入理解异常Exception Handling)
预见未来to50的专栏
07-22 1272
不知道为什么,这章的内容看起来很吃力。 本来以为自己的英语还不错,前面的几章看的挺顺溜,难道是因为前面几章的知识已经比较熟悉的缘故?-> Summary Section 11.1Introduction • An exception is anindication of a problem that occurs during a program’s execution. • E
webgoat 笔记总结 -Denial of service & Improper Error Handing
weixin_34101784的博客
10-04 222
Denial of service DoS是Denial of Service的简称,即拒绝服务,造成DoS的***行为被称为DoS***,其目的是使计算机或网络无法提供正常的服务。最常见的DoS***有计算机网络带宽***和连通性***。 作个形象的比喻来理解DoS。街头的餐馆是为大众提供餐饮服务,如果一群地痞流氓要DoS餐馆的话,手段会很多,比如霸占着餐桌不结账,...
【悟空云课堂】第二十三期:对XML外部实体引用的不当限制(CWE-611 :Improper Restriction of XML External Entity Reference)
Tianqi_Wukong的博客
01-20 808
【悟空云课堂】第二十三期:对XML外部实体引用的不当限制(CWE-611: Improper Restriction of XML External Entity Reference) 什么是对XML外部实体引用的不当限制? 该软件处理的XML文档可能包含带有URI的XML实体,这些URI可以解析为超出预期控制范围的文档,从而导致产品将不正确的文档嵌入其输出中。 XML文档可以选择包含文档类型定义(DTD),该文档类型定义(DTD)除其他功能外,还可以定义XML实体。可以通过提供URI形式的替换字符串来定义
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
NARUTONEPIECE的博客
01-31 531
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
【悟空云课堂】第十二期:LDAP注入漏洞CWE-90: Improper Neutralization of Special Elements used in an LDAP Query)
Tianqi_Wukong的博客
01-20 912
【悟空云课堂】第十二期:LDAP注入漏洞 什么是LDAP注入漏洞? LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,提供访问目录数据库方法的服务和协议,常用于与目录数据库组成目录服务。其中目录是一个为查询、浏览和搜索而优化的专业分布式数据库,它呈树状结构组织数据,就好象Linux/Unix系统中的文件目录一样。目录数据库和关系数据库不同,不适于存储修改频繁的数据。 类似以下的信息适合储存在目录中: 企业员工信息,如姓名、电话、邮箱等; 公用证书
CWE ID 113: Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Response Splitting‘)
Aron2278的博客
07-28 962
CWE ID 113: Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Response Splitting’) 问题描述 HTTP响应拆分缺陷,当调用一个存在该缺陷的请求时,很容易受到攻击,将不受信任的内容写入HTTP请求头中,导致缓存中毒和跨站点脚本攻击。 解决方案 1、输入校验 注意规范构建 HTTP 请求头,避免使用未经验证的输入数据,对构建内容进行合法校验,如:设定编码规范(UTF-8)、过滤特殊符号("\n", “
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么
06-09
1. CWE-16: Configuration,即配置问题,指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict,即解释冲突,指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型...
java7新特性之Improved exception handling
nobody
03-15 946
java7新特性之Improved exception handling There are two parts to this improvement—multicatch and final rethrow. To see why they’re a help, consider the following Java 6 code, which tries to find, ope
Exception Handling
weixin_52167636的博客
06-14 427
目录1.Runtime Exception and Other Exceptions2.Checked and unchecked exceptions2.1 异常发生处理方法:2.2 Unchecked exceptions(Errors and Runtime Exceptions)2.3 Checked exceptions 3.Declaring Checked Exceptions by throws 4.Catching Exceptions 5.fin
CWE-170: Improper Null Termination(NULL终止符错误)
plstudio1的博客
04-03 1470
ID: 170 类型:基础 结构:简单 状态:未完成 描述 软件不会终止或错误地终止具有空字符或等效终止符的字符串或数组。 扩展描述 空终止错误通常以两种不同的方式发生。一个“关闭一次”错误可能导致将空值写入边界之外,从而导致溢出。或者,程序可能不正确地使用strncpy()函数调用,这会阻止添加空终止符。其他情况也是可能的 关联视...
异常处理Exception Handling
K10I
08-18 1007
异常是指程序执行中的非正常事件,导致程序无法再按预想的流程执行
JAVA 面试知识点 3 --异常处理Exception Handling)
热门推荐
一朵小呆毛
11-16 1万+
异常Exception) 什么是 Exception Exception 是在程序执行过程中发生的一些不希望发生的事情,这些事情如果不被好好处理,就会导致奇怪的结果或者是程序终结。Exception Hander是那些当异常发生时处理这些异常的代码。java和javascript都用try/catch来处理异常。 1. Exceptions in java exception在java里也是个o...
常见漏洞
少说,多做。
10-22 5742
Cookie without HttpOnly flag set 如果在Cookie上设置了HttpOnly属性,则客户端JavaScript无法读取或设置Cookie的值。 这种措施通过阻止某些客户端攻击(例如跨站点脚本),通过阻止它们通过注入的脚本来简单地捕获cookie的值,使其利用起来略为困难。 robots.txt file robots.txt的存在本身并不表示任何类型的安全...
CC_REQUIRES_NULL_TERMINATION
爱生活,爱编程
07-24 852
这个宏一般出现在cocos2d-x函数后面,它
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值