悟空云课堂丨代码安全第二十期：资源未关闭/释放漏洞

中科天齐倾情打造《悟空云课堂》旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。本期主题为资源未关闭/释放漏洞的相关介绍。

一、什么是资源未关闭/释放?

在使用临时或配套资源后，软件没有正确“清理”和删除这些资源。

二、资源未关闭/释放漏洞构成条件有哪些?

满足以下条件，就构成了一个该类型的安全漏洞：

1、软件在使用后没有正确“清理”并删除临时的或配套的资源。

三、资源未关闭/释放漏洞会造成哪些后果?

关键词：其他;读取应用数据;修改申请数据;DoS：资源消耗(其他);

1、临时文件长时间存在可能会导致应用数据泄露;

2、可能会造成临时文件数量溢出，因为目录通常对允许的文件数有限制。这可能会造成拒绝服务问题。

四、资源未关闭/释放漏洞的防范和修补方法有哪些?

1、临时文件和其他配套资源在不再需要后应立即关闭/释放;

2、Java应用程序中流资源应该在finally块中释放。

五、资源未关闭/释放漏洞样例：

Java应用程序中的流资源应该在finally块中释放，否则在调用close()之前引发异常将导致I/O资源未释放。在下面的示例中，在try块中调用close()方法(不正确)。

用Wukong软件源代码静态分析工具检测上述程序代码，则可以发现代码中存在着“资源未关闭/释放”导致的代码缺陷，如下图：

资源未关闭/释放在CWE中被编号为CWE-459: Incomplete Cleanup

参读链接：https://www.woocoom.com/b021.html?id=4b19d942da5a4a40813aee2f52243608