Affected Platforms

Extended Description

AI Translation

The programmer may assume that certain events or conditions will never occur or do not need to be worried about, such as low memory conditions, lack of access to resources due to restrictive permissions, or misbehaving clients or components. However, attackers may intentionally trigger these unusual conditions, thus violating the programmer's assumptions, possibly introducing instability, incorrect behavior, or a vulnerability.

Note that this entry is not exclusively about the use of exceptions and exception handling, which are mechanisms for both checking and handling unusual or unexpected conditions.

Technical Details

AI Translation

Common Consequences

integrity availability

Impacts

dos: crash, exit, or restart unexpected state

Detection Methods

automated static analysis manual dynamic analysis

Potential Mitigations

Phases:

requirements implementation architecture and design

Descriptions:

• Use a language that does not allow this weakness to occur or provides constructs that make this weakness easier to avoid. Choose languages with features such as exception handling that force the programmer to anticipate unusual conditions that may generate exceptions. Custom exceptions may need to be developed to handle unusual business-logic conditions. Be careful not to pass sensitive exceptions back to the user (CWE-209, CWE-248).

• If using exception handling, catch and throw specific exceptions instead of overly-general exceptions (CWE-396, CWE-397). Catch and handle exceptions as locally as possible so that exceptions do not propagate too far up the call stack (CWE-705). Avoid unchecked or uncaught exceptions where feasible (CWE-248).

• Check the results of all functions that return a value and verify that the value is expected.

• Ensure that error messages only contain minimal details that are useful to the intended audience and no one else. The messages need to strike the balance between being too cryptic (which can confuse users) or being too detailed (which may reveal more than intended). The messages should not reveal the methods that were used to determine the error. Attackers can use detailed information to refine or optimize their original attack, thereby increasing their chances of success. If errors must be captured in some detail, record them in log messages, but consider what could occur if the log messages can be viewed by attackers. Highly sensitive information such as passwords should never be saved to log files. Avoid inconsistent messaging that might accidentally tip off an attacker about internal state, such as whether a user account exists or not. Exposing additional information to a potential attacker in the context of an exceptional condition can help the attacker determine what attack vectors are most likely to succeed beyond DoS.

• If the program must fail, ensure that it fails gracefully (fails closed). There may be a temptation to simply let the program fail poorly in cases such as low memory conditions, but an attacker may be able to assert control before the software has fully exited. Alternately, an uncontrolled failure could cause cascading problems with other downstream components; for example, the program could send a signal to a downstream process so the process immediately knows that a problem has occurred and has a better chance of recovery.

• Assume all input is malicious. Use an "accept known good" input validation strategy, i.e., use a list of acceptable inputs that strictly conform to specifications. Reject any input that does not strictly conform to specifications, or transform it into something that does. When performing input validation, consider all potentially relevant properties, including length, type of input, the full range of acceptable values, missing or extra inputs, syntax, consistency across related fields, and conformance to business rules. As an example of business rule logic, "boat" may be syntactically valid because it only contains alphanumeric characters, but it is not valid if the input is only expected to contain colors such as "red" or "blue." Do not rely exclusively on looking for malicious or malformed inputs. This is likely to miss at least one undesirable input, especially if the code's environment changes. This can give attackers enough room to bypass the intended validation. However, denylists can be useful for detecting potential attacks or determining which inputs are so malformed that they should be rejected outright.

• Use system limits, which should help to prevent resource exhaustion. However, the product should still handle low resource conditions since they may still occur.

AI Generated Translation

Common Consequences

integrità disponibilità

Impacts

dos: crash, uscita o riavvio stato inaspettato

Detection Methods

analisi statica automatizzata analisi dinamica manuale

Potential Mitigations

Phases:

requisiti implementazione architettura e design

Descriptions:

• Usa un linguaggio che non consenta questa vulnerabilità o che fornisca costrutti che rendano più facile evitarla. Scegli linguaggi con funzionalità come la gestione delle eccezioni che obblighino il programmatore a prevedere condizioni insolite che possano generare eccezioni. Potrebbe essere necessario sviluppare eccezioni personalizzate per gestire condizioni insolite della logica di business. Fai attenzione a non restituire eccezioni sensibili all'utente (CWE-209, CWE-248).

• Se si utilizza la gestione delle eccezioni, catturare e lanciare eccezioni specifiche invece di eccezioni troppo generiche (CWE-396, CWE-397). Catturare e gestire le eccezioni il più localmente possibile in modo che le eccezioni non si propaghino troppo in alto nello stack di chiamate (CWE-705). Evitare eccezioni non controllate o non catturate ove possibile (CWE-248).

• Verifica i risultati di tutte le funzioni che restituiscono un valore e assicurati che il valore sia quello atteso.

• Assicurarsi che i messaggi di errore contengano solo i dettagli minimi utili al pubblico destinatario e a nessun altro. I messaggi devono trovare un equilibrio tra essere troppo criptici (il che può confondere gli utenti) e essere troppo dettagliati (il che può rivelare più di quanto previsto). I messaggi non devono rivelare i metodi utilizzati per determinare l'errore. Gli aggressori possono usare informazioni dettagliate per affinare o ottimizzare il loro attacco originale, aumentando così le possibilità di successo. Se gli errori devono essere catturati in qualche dettaglio, registrarli nei log, ma considerare cosa potrebbe succedere se i messaggi di log fossero visualizzati dagli aggressori. Informazioni altamente sensibili come le password non devono mai essere salvate nei file di log. Evitare messaggi incoerenti che potrebbero accidentalmente rivelare all'attaccante lo stato interno, come ad esempio se un account utente esiste o meno. Esposizione di informazioni aggiuntive a un potenziale attaccante nel contesto di una condizione eccezionale può aiutare l'attaccante a determinare quali vettori di attacco sono più probabilmente efficaci oltre al DoS.

• Se il programma deve fallire, assicurarsi che fallisca in modo controllato (fails closed). Potrebbe esserci la tentazione di lasciare che il programma fallisca in modo disastroso in casi come condizioni di memoria insufficiente, ma un attaccante potrebbe riuscire a prendere il controllo prima che il software si chiuda completamente. In alternativa, un fallimento incontrollato potrebbe causare problemi a cascata con altri componenti downstream; ad esempio, il programma potrebbe inviare un segnale a un processo downstream in modo che il processo sappia immediatamente che si è verificato un problema e abbia una possibilità migliore di recupero.

• Assumi che tutti gli input siano dannosi. Utilizza una strategia di convalida degli input "accetta solo quelli noti come buoni", ovvero utilizza una lista di input accettabili che conformano strettamente alle specifiche. Rifiuta qualsiasi input che non rispetti rigorosamente le specifiche, o trasformalo in qualcosa che lo faccia. Quando esegui la convalida degli input, considera tutte le proprietà potenzialmente rilevanti, inclusi lunghezza, tipo di input, l'intera gamma di valori accettabili, input mancanti o in eccesso, sintassi, coerenza tra campi correlati e conformità alle regole di business. Come esempio di logica di regole di business, "boat" può essere sintatticamente valido perché contiene solo caratteri alfanumerici, ma non è valido se l'input è previsto per contenere solo colori come "red" o "blue". Non fare affidamento esclusivamente sulla ricerca di input dannosi o malformati. Questo potrebbe non individuare almeno un input indesiderato, specialmente se l'ambiente del codice cambia. Questo può dare agli attaccanti abbastanza spazio per aggirare la validazione prevista. Tuttavia, le liste di esclusione (denylists) possono essere utili per rilevare potenziali attacchi o determinare quali input sono così malformati da dover essere rifiutati immediatamente.

• Utilizzare i limiti di sistema, che dovrebbero contribuire a prevenire l'esaurimento delle risorse. Tuttavia, il prodotto dovrebbe comunque gestire le condizioni di risorse basse, poiché potrebbero comunque verificarsi.

CWE-754

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Iscriviti alla newsletter