CS.WRONG.CAST.MIGHT

この警告は、1 つのオブジェクトが、データを失ったかプログラム障害が発生した可能性がある別のオブジェクトにキャストされる可能性がある状況で報告されます。

脆弱性とリスク

データが失われるか、プログラムが失敗する可能性があります。この状況は、キャストの後にプログラムが存在しないクラスフィールドにアクセスしようとすると、発生する可能性があります。

例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
  public class Object1 : Object2 {
     public int a;
  }
  public class Object2 {
     public int b;
  }
  public class ClassCastTests {
     public void foo() {
        Object1 o1;
       Object2 o2 = new Object2();
       if (flag)
           o1 = (Object1)o2;
    }
    private bool flag;
 }

クラス Object1 のオブジェクト o1 とクラス Object2 のオブジェクト o2 は 9 ～ 10 行目で宣言されます。12 行目で、Object2 は 11 行目のフラグに応じて Object1 にキャストされる可能性がありますが、これは無効です。

外部参考資料

• CWE-704: 不正な型変換またはキャスト

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Type Confusion (型の取り違え)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます