CS.WRONG.CAST

この警告は、1 つのオブジェクトが、データを失ったかプログラム障害が発生した可能性がある別のオブジェクトにキャストされる状況で報告されます。

脆弱性とリスク

データが失われるか、プログラムが失敗する可能性があります。この状況は、キャストの後にプログラムが存在しないクラスフィールドにアクセスしようとすると、発生する可能性があります。

例

1
2
3
4
5
6
7
8
9
10
11
12
13
  public class Object1 : Object2 {
     public int a;
  }
  public class Object2 {
     public int a;
  }
  public class ClassCastTests {
     public void foo() {
        Object1 o1;
       Object2 o2 = new Object2();
       o1 = (Object1)o2;
    }
 }

クラス Object1 のオブジェクト o1 とクラス Object2 のオブジェクト o2 は 9 ～ 10 行目で宣言されます。11 行目で、Object2 は Object1 にキャストされますが、これは無効です。

外部参考資料

• CWE-704: 不正な型変換またはキャスト

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Type Confusion (型の取り違え)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます