CS.CTOR.VIRTUAL

コンストラクタはそのクラスで定義された仮想メソッドを呼び出します

脆弱性とリスク

仮想メソッドが呼び出されると、メソッドを実行する実際の型は実行時まで選択されません。コンストラクタが仮想メソッドを呼び出したときに、メソッドを呼び出すインスタンスのコンストラクタがまだ実行可能ではない可能性があります。

外部参考資料

CWE-398: 低品質コードのインジケータ

例 1

コピー

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
  namespace NameSpace {
      class BadlyConstructedType {
          public BadlyConstructedType() {
              DoBusiness();         // defect - call to a virtual method
          }
          public virtual void DoBusiness() {
              // doing business...
          }
      }
 
     public class DerivedType : BadlyConstructedType {
         public DerivedType () {}
         public override void DoBusiness() {
             // this method is may be called when the corresponding object is not constructed...
         }
     }
 }