A10:2025 – Gestionarea Defectuoasă a Condițiilor Excepționale
Mishandling of Exceptional Conditions
Gestionarea defectuoasă a condițiilor excepționale se referă la erorile de manipulare a situațiilor neașteptate și condiții logice în cod. Include manipularea inadecvată a erorilor, condiții care cad într-un mod nesigur și tratarea incorectă a cazurilor extreme.
A10:2025 este o categorie nouă în OWASP 2025, care conține 24 CWE-uri axate pe gesionarea incorectă a erorilor, erorile logice, fail-open scenarios și alte scenarii conexe care rezultă din condiții anormale pe care sistemele le pot întâmpina.
1. Mesaje de Eroare care Expun Informații Sensibile
O eroare de bază de date expune stack trace-ul și detalii despre structura bazei de date, ajutând un atacator să identifice vectorii de atac.
2. Eșec Deschis (Fail-Open)
Când o verificare de securitate eșuează (ex: autentificare), sistemul permite accesul în loc să refuze și să înregistreze tentativa.
3. Erori Logice în Fluxul de Aplicație
Logica condiționilor nu este corect implementată, permițând bypass-ul fluxuri importante. De ex., o comandă care ar trebui executată la end rămâne incompletă.
4. Tratament Incorect al Stării Nule
Codul nu verifică dacă un obiect este null înainte de a-l accesa, ceea ce duce la excepții nehandlate sau comportament nedefinit.
5. Resource Leaks (Memory, Database Connections)
Conexiuni la baze de date sau fișiere deschise nu sunt inchise corect în caz de excepție. Un loop care nu eliberează resurse duce la memory leak și eventual DoS.
6. Integer Overflow / Buffer Overflow
int size = user_input; // Nu se verifică dacă size > MAX_INT
Integer overflow duce la comportament neprezis, buffer overflow și potențial RCE (în C/C++).