CS.NRE.CONST.DEREF

null オブジェクト参照の定数は、明示的に、または逆参照可能な関数を呼び出すことによって、逆参照されます。

脆弱性とリスク

null オブジェクト参照の逆参照は、一部のオペレーティングシステムでのアプリケーションのクラッシュや実行時例外のスローを引き起こす実行時の重大な問題です。

例 1

1
2
3
4
5
6
7
8
9
10
11
12
13
                  class Param {
                      public int par1() {
                          return 0;
                      }
                  }
                  class NPD3 {
                      public void foo() {
                          foo2(null);
                      }
                     public void foo2(Param param) {
                         param.par1();
                     }
                 }

Klocwork は 8 行目で指摘レポート (CS.NRE.CONST.DEREF) を生成します。8 行目で引数 1 を関数 'foo2' に渡すことによって、定数 null ポインターは逆参照されます。

外部参考資料

• CWE-476: null ポインター逆参照

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Null Dereference (null 逆参照)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます