界: API Abuse

API は、呼び出し元と呼び出し先の間のコントラクトです。最も一般的な API の不正使用の形態は、呼び出し元がこのコントラクトの終わりを守らないことによって発生します。たとえば、プログラムが chroot() を呼び出した後に chdir() を呼び出すのに失敗すると、アクティブなルートディレクトリを安全に変更する方法を指定したコントラクトに違反することになります。ライブラリの悪用のもう 1 つの良い例は、呼び出し先が信頼できる DNS 情報を呼び出し元に返すことを期待することです。この場合、呼び出し元は、呼び出し先の API の動作 (戻り値が認証目的に使用できること) についてある種の仮定をすることで、呼び出し先の API を悪用します。また、相手側から、呼び出し元と呼び出し先のコントラクトを違反することもできます。例えば、コーダーが SecureRandom をサブクラス化し、ランダムではない値を返した場合、コントラクトに違反することになります。

Missing Check for Null Parameter

Java/JSP

Abstract

この関数は、パラメーターを null と比較しなくてはならないという規約に違反しています。

Explanation

Java 標準では、Object.equals()、Comparable.compareTo()、または Comparator.compare() の実装のパラメーターが null である場合には特定の値を返さなくてはならないと定めています。この規約に違反すると、予期せぬ動作が引き起こされる可能性があります。

例 1: 次の equals() メソッドの実装では、パラメーターと null との比較をしていません。


public boolean equals(Object object)
{
   return (toString().equals(object.toString()));
}

References

[1] MET10-J. Follow the general contract when implementing the compareTo() method CERT

[2] MET08-J. Preserve the equality contract when overriding the equals() method CERT

[3] Standards Mapping - Common Weakness Enumeration CWE ID 684

[4] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

desc.controlflow.java.missing_check_for_null_parameter