계: Code Quality

코드 품질이 낮으면 예측할 수 없는 동작이 발생합니다. 사용자 입장에서는 사용 편의성이 떨어지는 것으로 나타나는 경우가 많습니다. 공격자에게는 예상치 못한 방법으로 시스템에 부담을 줄 수 있는 기회가 됩니다.

Obsolete: Inadequate Pointer Validation

C/C++

Abstract

이 함수는 사용되지 않으며 포인터가 유효하거나 참조된 메모리의 사용 안전을 보장할 수 없습니다.

Explanation

함수의 IsBadXXXPtr() 클래스를 사용하지 않는 이유가 많습니다. 이러한 함수는 다음과 같습니다.
1) 스레드에 안전하지 않습니다.
2) 흔히 잘못된 메모리 주소의 조사로 인해 발생한 중단과 관계가 있기도 합니다.
3) 예외 조건에서 적절한 오류 처리를 수행한다고 잘못 생각됩니다.

예제 1: 다음 코드는 불량 메모리 쓰기를 방지하기 위해 IsBadWritePtr()을 사용합니다.


if (IsBadWritePtr(ptr, length))
{
    [handle error]
}

프로그래머는 흔히 예외 경우를 감지할 의도로 이러한 함수를 사용하지만 이 함수는 일반적으로 수정하는 것보다 더 많은 문제를 일으킵니다.

References

[1] Raymond Chen IsBadXxxPtr should really be called CrashProgramRandomly

[2] IsBadWritePtr Function Microsoft

[3] Standards Mapping - Common Weakness Enumeration CWE ID 730

[4] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001094

[5] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C Guidelines 2023 Rule 1.5

[6] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-5 Denial of Service Protection (P1)

[7] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-5 Denial of Service Protection

[8] Standards Mapping - OWASP Top 10 2004 A9 Application Denial of Service

[9] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.9

[10] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP6080 CAT II

[11] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP6080 CAT II

[12] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP6080 CAT II

[13] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP6080 CAT II

[14] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP6080 CAT II

[15] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP6080 CAT II

[16] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP6080 CAT II

[17] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002400 CAT II

[18] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002400 CAT II

[19] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002400 CAT II

[20] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002400 CAT II

[21] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002400 CAT II

[22] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002400 CAT II

[23] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002400 CAT II

[24] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002400 CAT II

[25] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002400 CAT II

[26] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002400 CAT II

[27] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002400 CAT II

[28] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002400 CAT II

[29] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002400 CAT II

[30] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002400 CAT II

[31] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002400 CAT II

[32] Standards Mapping - Web Application Security Consortium Version 2.00 Denial of Service (WASC-10)

[33] Standards Mapping - Web Application Security Consortium 24 + 2 Denial of Service

desc.semantic.cpp.obsolete_inadequate_pointer_validation