悟空云课堂丨代码安全第二十期:资源未关闭/释放漏洞
中科天齐倾情打造《悟空云课堂》旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。本期主题为资源未关闭/释放漏洞的相关介绍。
一、什么是资源未关闭/释放?
在使用临时或配套资源后,软件没有正确“清理”和删除这些资源。
二、资源未关闭/释放漏洞构成条件有哪些?
满足以下条件,就构成了一个该类型的安全漏洞:
1、软件在使用后没有正确“清理”并删除临时的或配套的资源。
三、资源未关闭/释放漏洞会造成哪些后果?
关键词:其他;读取应用数据;修改申请数据;DoS:资源消耗(其他);
1、临时文件长时间存在可能会导致应用数据泄露;
2、可能会造成临时文件数量溢出,因为目录通常对允许的文件数有限制。这可能会造成拒绝服务问题。
四、资源未关闭/释放漏洞的防范和修补方法有哪些?
1、临时文件和其他配套资源在不再需要后应立即关闭/释放;
2、Java应用程序中流资源应该在finally块中释放。
五、资源未关闭/释放漏洞样例:
Java应用程序中的流资源应该在finally块中释放,否则在调用close()之前引发异常将导致I/O资源未释放。在下面的示例中,在try块中调用close()方法(不正确)。
用Wukong软件源代码静态分析工具检测上述程序代码,则可以发现代码中存在着“资源未关闭/释放”导致的代码缺陷,如下图:
资源未关闭/释放在CWE中被编号为CWE-459: Incomplete Cleanup
参读链接:https://www.woocoom.com/b021.html?id=4b19d942da5a4a40813aee2f52243608
评论