계: Code Quality
코드 품질이 낮으면 예측할 수 없는 동작이 발생합니다. 사용자 입장에서는 사용 편의성이 떨어지는 것으로 나타나는 경우가 많습니다. 공격자에게는 예상치 못한 방법으로 시스템에 부담을 줄 수 있는 기회가 됩니다.
Uninitialized Variable
Abstract
프로그램이 변수를 초기화되기 전에 사용할 수 있습니다.
Explanation
.Net에서는 정적 변수가 기본값으로 초기화됩니다. 하지만 초기화하지 않고 이러한 변수를 사용할 경우 비즈니스 로직 기반 문제가 발생하거나 DoS(Denial of Service) 공격을 실행하는 수단으로 이용될 수 있습니다. 프로그램에서는 변수의 기본값을 사용하면 안 됩니다.
프로그래머가 오류나 기타 예외적인 상황을 처리하는 코드에 uninitialized variable을 사용하는 것은 드문 일이 아닙니다. Uninitialized variable 경고가 코드에 철자 상의 오류가 있음을 나타내는 경우도 있습니다.
예제 1: 다음 코드는 .Net 컴파일러를 통해 오류 없이 컴파일됩니다. 하지만 다음 문
대부분의 uninitialized variable 변수 이슈는 전반적인 소프트웨어 안정성 문제를 일으키지만, 공격자가 의도적으로 uninitialized variable을 사용하는 경우 프로그램을 중단하여 denial of service 공격을 실행할 수도 있습니다.
프로그래머가 오류나 기타 예외적인 상황을 처리하는 코드에 uninitialized variable을 사용하는 것은 드문 일이 아닙니다. Uninitialized variable 경고가 코드에 철자 상의 오류가 있음을 나타내는 경우도 있습니다.
예제 1: 다음 코드는 .Net 컴파일러를 통해 오류 없이 컴파일됩니다. 하지만 다음 문
int a = (Int32)i + (Int32)j;로 처리되지 않은 예외가 발생하고 런타임에서 응용 프로그램이 충돌합니다.
class Program
{
static int? i = j;
static int? j;
static void Main(string[] args)
{
j = 100;
int a = (Int32)i + (Int32)j;
Console.WriteLine(i);
Console.WriteLine(j);
Console.WriteLine(a);
}
}
대부분의 uninitialized variable 변수 이슈는 전반적인 소프트웨어 안정성 문제를 일으키지만, 공격자가 의도적으로 uninitialized variable을 사용하는 경우 프로그램을 중단하여 denial of service 공격을 실행할 수도 있습니다.
References
[1] Standards Mapping - Common Weakness Enumeration CWE ID 457, CWE ID 824
[2] Standards Mapping - Common Weakness Enumeration Top 25 2024 [12] CWE ID 020, [20] CWE ID 119
[3] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001094
[4] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C Guidelines 2012 Rule 9.1
[5] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C Guidelines 2023 Rule 9.1
[6] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C++ Guidelines 2008 Rule 8-5-1
[7] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C++ Guidelines 2023 Rule 11.6.2
[8] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-5 Denial of Service Protection (P1)
[9] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-5 Denial of Service Protection
[10] Standards Mapping - OWASP Top 10 2004 A9 Application Denial of Service
[11] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.9
[12] Standards Mapping - SANS Top 25 2009 Risky Resource Management - CWE ID 665
[13] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP6080 CAT II
[14] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP6080 CAT II
[15] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP6080 CAT II
[16] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP6080 CAT II
[17] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP6080 CAT II
[18] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP6080 CAT II
[19] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP6080 CAT II
[20] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002400 CAT II
[21] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002400 CAT II
[22] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002400 CAT II
[23] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002400 CAT II
[24] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002400 CAT II
[25] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002400 CAT II
[26] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002400 CAT II
[27] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002400 CAT II
[28] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002400 CAT II
[29] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002400 CAT II
[30] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002400 CAT II
[31] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002400 CAT II
[32] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002400 CAT II
[33] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002400 CAT II
[34] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002400 CAT II
[35] Standards Mapping - Smart Contract Weakness Classification SWC-109
[36] Standards Mapping - Web Application Security Consortium Version 2.00 Denial of Service (WASC-10)
[37] Standards Mapping - Web Application Security Consortium 24 + 2 Denial of Service
desc.structural.dotnet.uninitialized_variable
Abstract
프로그램은 초기화되기 전에 변수를 사용할 수 있습니다.
Explanation
C 및 C++의 스택 변수는 기본적으로 초기화되지 않습니다. 초기값은 함수를 호출하는 시점에 스택의 해당 위치에서 발생하는 동작에 따라 결정됩니다. 프로그램은 uninitialized variable의 값을 사용해서는 안 됩니다.
프로그래머가 오류나 기타 예외적인 상황을 처리하는 코드에 uninitialized variable을 사용하는 것은 드문 일이 아닙니다. Uninitialized variable 경고가 코드에 철자 상의 오류가 있음을 나타내는 경우도 있습니다.
예제 1: 다음 스위치 문은 변수
대부분의 초기화되지 않은 변수는 일반적인 소프트웨어 신뢰도 문제를 야기하지만 공격자가 의도적으로 초기화되지 않은 변수의 사용을 실행할 수 있는 경우 프로그램을 중단시켜 DoS(Denial of Service) 공격을 시작할 수 있습니다. 올바른 상황에서 공격자는 함수 호출 전에 스택의 값에 영향을 주어 초기화되지 않은 변수의 값을 제어할 수 있습니다.
프로그래머가 오류나 기타 예외적인 상황을 처리하는 코드에 uninitialized variable을 사용하는 것은 드문 일이 아닙니다. Uninitialized variable 경고가 코드에 철자 상의 오류가 있음을 나타내는 경우도 있습니다.
예제 1: 다음 스위치 문은 변수
aN 및bN의 값을 설정하기 위해 고안되었습니다. 그러나 기본 경우에는 프로그래머가 실수로aN의 값을 두 번 설정합니다.
switch (ctl) {
case -1:
aN = 0; bN = 0;
break;
case 0:
aN = i; bN = -i;
break;
case 1:
aN = i + NEXT_SZ; bN = i - NEXT_SZ;
break;
default:
aN = -1; aN = -1;
break;
}
대부분의 초기화되지 않은 변수는 일반적인 소프트웨어 신뢰도 문제를 야기하지만 공격자가 의도적으로 초기화되지 않은 변수의 사용을 실행할 수 있는 경우 프로그램을 중단시켜 DoS(Denial of Service) 공격을 시작할 수 있습니다. 올바른 상황에서 공격자는 함수 호출 전에 스택의 값에 영향을 주어 초기화되지 않은 변수의 값을 제어할 수 있습니다.
References
[1] Standards Mapping - Common Weakness Enumeration CWE ID 457, CWE ID 824
[2] Standards Mapping - Common Weakness Enumeration Top 25 2024 [12] CWE ID 020, [20] CWE ID 119
[3] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001094
[4] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C Guidelines 2012 Rule 9.1
[5] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C Guidelines 2023 Rule 9.1
[6] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C++ Guidelines 2008 Rule 8-5-1
[7] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C++ Guidelines 2023 Rule 11.6.2
[8] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-5 Denial of Service Protection (P1)
[9] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-5 Denial of Service Protection
[10] Standards Mapping - OWASP Top 10 2004 A9 Application Denial of Service
[11] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.9
[12] Standards Mapping - SANS Top 25 2009 Risky Resource Management - CWE ID 665
[13] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP6080 CAT II
[14] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP6080 CAT II
[15] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP6080 CAT II
[16] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP6080 CAT II
[17] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP6080 CAT II
[18] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP6080 CAT II
[19] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP6080 CAT II
[20] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002400 CAT II
[21] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002400 CAT II
[22] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002400 CAT II
[23] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002400 CAT II
[24] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002400 CAT II
[25] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002400 CAT II
[26] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002400 CAT II
[27] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002400 CAT II
[28] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002400 CAT II
[29] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002400 CAT II
[30] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002400 CAT II
[31] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002400 CAT II
[32] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002400 CAT II
[33] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002400 CAT II
[34] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002400 CAT II
[35] Standards Mapping - Smart Contract Weakness Classification SWC-109
[36] Standards Mapping - Web Application Security Consortium Version 2.00 Denial of Service (WASC-10)
[37] Standards Mapping - Web Application Security Consortium 24 + 2 Denial of Service
desc.controlflow.cpp.uninitialized_variable