cwe - 382: J2EE坏实践:使用system . exit ()
 描述
J2EE应用程序使用system . exit(),它也关闭容器。
扩展描述
这从来就不是一个好主意对web应用程序试图关闭应用程序容器。访问功能,可以关闭应用程序是一个大道拒绝服务(DoS)攻击。
的关系
模式的介绍
 不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
| 阶段 |
请注意 |
| 实现 |
可能是调用system . exit()的一部分,剩下的调试代码或代码从一个进口非j2ee应用程序。 |
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
示范例子
示例1
包括在doPost()方法定义下面是调用system . exit()在一个特定的例外。
公共空间doPost (HttpServletRequest请求,HttpServletResponse响应)抛出ServletException, IOException {
尝试{
… }捕捉(ApplicationSpecificException ase) {
记录器。错误(“抓住:“+ ase.toString ());
system . exit (1); } }
潜在的缓解措施
阶段:体系结构和设计
关闭功能应该是一个特权功能只提供给一个适当的授权管理用户 |
实施阶段:
Web应用程序不应该调用方法,导致虚拟机出口,如system . exit () |
实施阶段:
Web应用程序还应该不会抛出任何throwable到应用程序服务器,这可能影响容器。 |
实施阶段:
非web应用程序可能有一个main()方法包含一个system . exit(),但通常不应该从其他地方调用system . exit()代码 |
会员资格
这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。
分类法映射
| 映射分类名称 |
节点ID |
适合 |
映射节点名 |
| 7有害的王国 |
|
|
J2EE坏实践:system . exit () |
| OWASP十大2004 |
A9 |
CWE更具体 |
拒绝服务 |
| CERT甲骨文安全Java编码标准(2011) |
ERR09-J |
|
不允许不可信代码JVM终止 |
| 软件故障模式 |
SFP3 |
|
使用不当的API |
引用
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
