记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

代码缺陷解读——不受控制的资源消耗及表达式永假永真

2021-09-25 03:46

什么是不受控制的资源消耗缺陷漏洞?它又能带来哪些严重后果?让我们一起往下看。



不受控制的资源消耗缺陷漏洞



一、什么是不受控制的资源消耗缺陷?

软件无法正确控制有限资源的分配和维护,从而使参与者无法影响所消耗的资源量,最终导致可用资源的耗尽。有限的资源包括内存,文件系统存储,数据库连接池条目和CPU。

如果攻击者可以触发这些有限资源的分配,但是资源的数量或大小不受控制,则攻击者可能会导致拒绝服务,从而消耗所有可用资源。这将阻止有效用户访问该软件,并且可能对周围环境产生影响。

例如,循环内字符串拼接是不受控制的资源消耗缺陷中的一个子类。



二、不受控制的资源消耗缺陷的构成条件有哪些?

1、缺少分配资源数量的限制;

2、在到达关闭阶段之前,将丢失对资源的所有引用;

3、处理后不关闭/返回资源。



三、不受控制的资源消耗缺陷会造成哪些后果?

资源耗尽的最常见结果是拒绝服务。该软件可能会变慢,由于未处理的错误而崩溃或将合法用户锁定。在某些情况下,有可能在资源耗尽的情况下强制软件“无法打开”。然后,软件的状态(可能还有安全功能)可能会受到威胁。



四、不受控制的资源消耗缺陷的防范和修补方法有哪些?

将节流机制设计到系统体系结构中。最好的保护措施是限制未经授权的用户可能导致消耗的资源量。强大的身份验证和访问控制模型将首先帮助防止此类攻击的发生。应尽可能保护登录应用程序免受DoS攻击。限制数据库访问(可能通过缓存结果集)可以帮助最大程度地减少消耗的资源。为了进一步限制发生DoS攻击的可能性,请考虑跟踪从用户收到的请求的速率,并阻止超出定义的速率阈值的请求。



五、不受控制的资源消耗缺陷样例:

 




检测上述程序代码,则可以发现代码中存在着“不受控制的资源消耗” 导致的代码缺陷,如下图:

 

不受控制的资源消耗缺陷在CWE中被编号为CWE-400:Uncontrolled Resource Consumption



表达式永假/永真缺陷缺陷漏洞



一、什么是表达式永假/永真缺陷?

如果布尔表达式不改变程序逻辑,则完全没有必要,并且可以将其删除。如果执行逻辑与程序员的意图不匹配,这就是一个错误,布尔表达式应该被修复。



二、表达式永假/永真缺陷的构成条件有哪些?

该软件包含一个始终为假或为真的表达式。



三、表达式永假/永真缺陷的构成会造成哪些后果?

无效代码可能会在代码维护期间引起问题,并可能引入漏洞。



四、表达式永假/永真缺陷的防范和修补方法有哪些?

布尔表达式应该有改变其值的操作。

使用静态分析工具发现这种情况。



五、表达式永假/永真缺陷样例:

 


用Wukong软件检测

上述程序代码,则可以发现代码中存在着“表达式永假/永真” 导致的代码缺陷,如下图:

 

表达式永假/永真缺陷在CWE中被编号为CWE-570:Expression is Always False

文章来源于互联网:代码缺陷解读——不受控制的资源消耗及表达式永假永真


知识来源: https://secvery.com/6468.html

阅读:78989 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“代码缺陷解读——不受控制的资源消耗及表达式永假永真”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁