CS.NRE.GEN.MUST

null 定数のローカル割り当て、または null を返す関数の呼び出しによってオブジェクト参照値は、明示的に、またはそれを null についてチェックせずに逆参照する可能性がある関数を呼び出すことによって、逆参照されます。

脆弱性とリスク

null オブジェクト参照の逆参照は、一部のオペレーティングシステムでのアプリケーションのクラッシュや実行時例外のスローを引き起こす実行時の重大な問題です。

例 1

1
2
3
4
5
6
              public class A {
                  public void foo() {
                      A c = null;
                      c.foo();
                  }
              }

null ソース:明示的な assignmentNull 逆参照:変数 'c' では、explicitKlocwork は 4 行目で指摘レポート (CS.NRE.GEN.CALL.MIGHT) を生成します。変数 'c' は 3 行目で null 値に明示的に割り当てられ、4 行目で逆参照されます。

外部参考資料

• CWE-476: null ポインター逆参照

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Null Dereference (null 逆参照)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます