EFFECT

代入式で = の代わりに他の演算子を使用すると、そのステートメントは無意味です。

脆弱性とリスク

重大な問題の可能性があります。

例 1

1
2
3
4
5
6
7
8
9
10
11
12
13
14
  class A{
     int foo(int);
  };
  int A::foo(int k){
       int j = 1;
       k = 0;
       if(j){
           j > k;  // EFFECT
           return j;
          }else{
           k++;
           return k;
          }
  }

外部参考資料

• CERT MSC12-C: 影響を与えないコード、または決して実行されないコードの検出と削除
• CWE-480: 不正な演算子の使用
• CWE-482: 割り当ての代わりの比較

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Business Logic (ビジネスロジック)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます