JD.FINRET

JD.FINRET は、return 文が finally ブロックに存在する場合に検出されます。

脆弱性とリスク

finally ブロック内に return 文がある場合には、try ブロック内でスローされる可能性のある例外が破棄され、このメソッドの当初予定されていた戻り値が finally ブロックで返される値に置き換えられることになります。

軽減と防止

finally ブロックにはファイナライズコードのみが含まれるようにしてください。戻り値に関するロジックや再スローされる例外は、finally ブロックに置かないでください。

例 1

9
10
11
12
13
14
15
16
17
      int foo2(String name) {
         try {
             return Integer.parseInt(name);
         } catch (NumberFormatException e) {
             throw e;
         } finally {
             return -1;
         }
     }

JD.FINRET が 15 行目に対して報告されています。finally ブロックに 'return' があると、例外が無視される可能性があります。

外部参考資料

• CERT ERR04-J: finally ブロックから突然完了しない
• CWE-1032: セキュリティの構成エラー
• OWASP A6:2017 不適切なセキュリティ設定
• OWASP A5:2021 セキュリティ構成エラー

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Security Misconfiguration (不適切なセキュリティ設定)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます