CWE -CWE -488：数据元素暴露于错误的会话（4.10）

弱点ID：488

抽象：根据
结构：简单的

查看自定义信息：

描述

该产品在不同会话的状态之间没有足够的实施界限，从而导致数据提供给或使用错误的会话。

扩展描述

数据可以通过单身对象的成员变量（例如servlets）和来自共享池的对象“流血”到另一个会话。

就servlet而言，开发人员有时不明白，除非servlet实现singlethreadModel界面，否则servlet是单身人士。Servlet只有一个实例，并且该实例被使用并重复使用来处理由不同线程同时处理的多个请求。一个普遍的结果是开发人员使用servlet成员字段，以使一个用户可以无意中看到另一个用户的数据。换句话说，将用户数据存储在Servlet成员字段中会引入数据访问竞赛条件。

关系

该表显示了与这种弱点相关的弱点和高级类别。这些关系定义为childof，parentof，ementof，并深入了解可能存在于较高和较低抽象水平的类似项目。此外，定义了诸如Peerof和Canalsobe之类的关系，以显示用户可能想要探索的类似弱点。

与观点“研究概念”相关（CWE-1000）

自然	类型	ID	姓名
Childof	班级 - 以非常抽象的方式描述的弱点，通常与任何特定的语言或技术无关。比支柱弱点更具体，但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题：行为，属性和资源。	668	资源暴露于错误的领域
可以按照	基础 - 仍然主要独立于资源或技术的弱点，但有足够的细节提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题：行为，财产，技术，语言和资源。	567	在多线程上下文中对共享数据的不同步访问

与“软件开发”视图相关（CWE-699）

自然	类型	ID	姓名
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	1217	用户会话错误

与“建筑概念”的视图相关（CWE-1008）

自然	类型	ID	姓名
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	1018	管理用户会议

介绍模式

引言的不同模式提供了有关如何以及何时引入这种弱点的信息。该阶段识别可能发生介绍的生命周期中的一个点，而音符提供了与给定阶段中引言有关的典型情况。

阶段	笔记
执行	实现：这种弱点是在实施建筑安全策略期间引起的。

适用的平台

该清单显示可能出现给定弱点的可能区域。这些可能适用于特定的命名语言，操作系统，体系结构，范式，技术或一类此类平台。该平台与给定弱点出现在该实例的频率一起列出。

语言

班级：不是特定语言的（不确定的患病率）

常见后果

该表指定与弱点相关的不同个人后果。范围识别违反的应用程序安全区域，而影响描述了如果对手成功利用这一弱点，就会产生负面的技术影响。可能性提供了有关与列表中其他后果相对于其他后果的预期可能看到的可能性的信息。例如，可能有可能利用弱点来实现一定的影响，但是利用它以实现不同的影响的可能性很小。

范围	影响	可能性
保密	技术影响：读取应用程序数据

示例

示例1

以下servlet将请求参数的值存储在成员字段中，然后将参数值与响应输出流相呼应。

（不良代码）

示例语言：爪哇

公共课程留言簿扩展了httpservlet {

字符串名称;

受保护的void dopost（httpservletrequest req，httpservletResponse res）{

name = req.getParameter（“名称”）;
...
out.println（name +“，感谢您的访问！”）;

}

虽然此代码将在单用户环境中完美工作，但如果两个用户大约在同一时间访问servlet，则两个请求处理程序线程可能以以下方式交织：线程1：分配“ Dick”线程2：将“简”分配到名称线程1：打印“简，谢谢您的访问！”线程2：打印“简，感谢您的访问！”从而向第一个用户显示第二用户的名称。

潜在的缓解

阶段：建筑和设计

保护应用程序的会话免受信息泄漏。确保其他会话不使用或可见会话的数据。

阶段：测试

使用静态分析工具来扫描代码以获取信息泄漏漏洞（例如，Singleton成员字段）。

阶段：建筑和设计

在多线程环境中，将用户数据存储在Servlet成员字段中会引入数据访问竞赛条件。请勿使用成员字段将信息存储在servlet中。

会员资格

此成员关系表显示了其他CWE类别和视图，将这种弱点作为成员。这些信息通常可用于理解弱点适合外部信息源的何处。

自然	类型	ID	姓名
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	485	7pk-封装
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	882	CERT C ++安全编码第14条 - 并发（con）
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	965	SFP辅助集群：不安全的会话管理

分类映射

映射的分类名称	节点ID	合身	映射的节点名称
7个有害王国			用户之间的数据泄漏

相关攻击模式

CAPEC-ID	攻击模式名称
CAPEC-59	会话证书伪造通过预测
CAPEC-60	重复使用会话ID（又称会话重播）

参考

[Ref-6] Katrina Tsipenyuk，Brian Chess和Gary McGraw。“七个有害王国：软件安全错误的分类法”。NIST关于软件安全保证工具技术和指标的研讨会。nist。2005-11-07。<https://samate.nist.gov/ssattm_content/papers/seven%20pernious%20kingdoms%20-%20-%20taxonomy％20OF%20SW%20SECURITY%20Security%20ERR%20-20->。

内容历史记录

提交
提交日期	提交者	组织
2006-07-19	7个有害王国
2006-07-19
修改
修改日期	修饰符	组织
2008-07-01	埃里克·达奇（Eric Dalci）	雪茄
2008-07-01	更新的电势_限制，time_of_introduction
2008-09-08	CWE内容团队	MITER
2008-09-08	更新的描述，关系，其他_notes，gualomy_mappings
2009-05-27	CWE内容团队	MITER
2009-05-27	更新了示范_examples
2009-10-29	CWE内容团队	MITER
2009-10-29	更新的描述，其他_notes
2010-09-27	CWE内容团队	MITER
2010-09-27	更新的势_MINEIGATIONS
2010-12-13	CWE内容团队	MITER
2010-12-13	更新的关系
2011-03-29	CWE内容团队	MITER
2011-03-29	更新的名称
2011-06-01	CWE内容团队	MITER
2011-06-01	更新的common_cconsquences
2011-09-13	CWE内容团队	MITER
2011-09-13	更新的关系，分类_mappings
2012-05-11	CWE内容团队	MITER
2012-05-11	更新的关系
2012-10-30	CWE内容团队	MITER
2012-10-30	更新的势_MINEIGATIONS
2014-07-30	CWE内容团队	MITER
2014-07-30	更新的关系
2017-11-08	CWE内容团队	MITER
2017-11-08	更新已更新的适用_platforms，modes_of_introduction，关系，分类_mappings
2020-02-24	CWE内容团队	MITER
2020-02-24	更新的引用，关系，类型
2021-03-15	CWE内容团队	MITER
2021-03-15	更新的关系
先前的输入名称
改变日期	上一个条目名称
2008-04-11	用户之间的数据泄漏

2011-03-29	会话之间的数据泄漏

常见的弱点

CWE-488：数据元素暴露于错误的会话


	站点图\|使用条款\|隐私政策\|联系我们\| 使用共同弱点枚举（CWE）和本网站的相关参考使用条款。CWE由美国国土安全部（DHS）网络安全和基础设施安全局（CISA），由国土安全系统工程和开发研究所（HSSEDI）由manbetx客户端首页（MITER）。版权所有©2006–2023，Miter Comanbetx客户端首页rporation。CWE，CWSS，CWRAF和CWE徽标是Miter Corporation的商标。manbetx客户端首页