Use of System Exit Açıklığı (CWE-382)
Bu makalede Use of System Exit (CWE-382), yani System.Exit() Kullanılması açıklığı anlatılacaktır.

Açıklık Önem Derecesi:

Düşük

Açıklığın Etkisi:

Servis Dışı Kalma

Açıklığın Açıklaması:

Java uygulamalardaki java.lang.System.exit() metodu Java Virtual Machine’i sonlandırarak mevcut programdan çıkış yapmayı sağlar. Bu metoda argüman olarak 0’dan farklı bir değer verilmesi genellikle anormal sonlandırmayı belirtmek için kullanılır. Java’daki bu metot C ve C++’daki exit komutuna benzerdir. Java’daki System.Exit()’in deklarasyonu şu şekildedir:

Java: 


public static void exit(int status)

Aldığı değerler ise şu şekildedir:

Aldığı Değerler Açıklaması
exit(0) Genellikle başarılı sonlanmalar için kullanılır.
exit(1) veya exit(-1) veya sıfırdan farklı başka bir değer Genellikle başarısız sonlanmalar için kullanılır.

Java dilinde System.exit()’in kullanıldığı güvensiz bir duruma örnek verilmiştir:

Java - Güvensiz Kod Bloğu: 

Public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

    if (isAuthorized()) {

      try {
          updateDb(request);
      }
      catch (UpdateDbException ude)
      {
          logger.error("Caught Exception While Updating DB: " + ude.toString());
          System.exit(1);
      }

      [..]

J2EE uygulaması System.exit() kullandığında bu JVM’i kapatır. Bu kullanım bir web uygulama için asla iyi bir fikir değildir. Uygulamayı kapatabilen fonksiyona olası başarılı bir erişimde uygulama keyfi olarak servis dışı saldırganlarca bırakılabilir. Bu durum System.exit() Kullanılması (CWE-382) açıklığı olarak değerlendirilir.

Açıklığın Önlemi:

Sonlandırma metodunun çağırılması kodu, arta kalan bir debug (hata ayıklama) kodundan dolayı yer alıyor olabilir veya koda eklenmiş J2EE olmayan üçüncü taraf bir uygulama kodundan dolayı yer alıyor olabilir. Bu kullanımlardan prod ortamda sakınılması gerekir.

Tavsiyeler genel manada şu şekildedir:

  • Web uygulamalar System.exit() gibi virtual machine’in kapanmasına neden olan metotları çağırmamalıdırlar.

  • Web uygulama olmayan uygulamalar ise System.exit() içeren bir main() metodu belki kullanabilirler, fakat kodda main() dışında diğer konumlardan System.exit() genellikle çağırmamalıdırlar.

Yararlanılan Kaynaklar:

  • https://cwe.mitre.org/data/definitions/382.html
  • https://vulncat.fortify.com/en/detail?category=J2EE%20Bad%20Practices&subcategory=JVM%20Termination#Java%2fJSP
  • https://community.veracode.com/s/question/0D52T000051Yh4DSAS/cwe382-j2ee-bad-practices-use-of-systemexit
  • https://www.security-database.com/cwe.php?name=CWE-382
Bu yazı 27.10.2025 tarihinde, saat 03:26:38'de yazılmıştır.
Yazar : Hasan Fatih ŞİMŞEK Görüntülenme Sayısı : 7
Yorumlar
Henüz yorum girilmemiştir.
Yorum Ekle
*
* (E-posta adresiniz yayınlanmayacaktır.)
*
*

#Arşiv

#Giriş
ID :
Şifre :