계: Code Quality

코드 품질이 낮으면 예측할 수 없는 동작이 발생합니다. 사용자 입장에서는 사용 편의성이 떨어지는 것으로 나타나는 경우가 많습니다. 공격자에게는 예상치 못한 방법으로 시스템에 부담을 줄 수 있는 기회가 됩니다.

Type Mismatch: Integer to Character

C/C++

Abstract

이 함수는 int로 배정된 unsigned char를 반환하지만 반환 값은 char 형식에 할당됩니다.

Explanation

정수로 배정된 부호 없는 문자가 부호 있는 문자에 할당되는 경우, 해당 값이 EOF와 구별되지 않을 수도 있습니다.

예제 1: 다음 코드는 문자를 읽고 이를 EOF와 비교합니다.


char c;

while ( (c = getchar()) != '\n' && c != EOF ) {
  ...
}

이 경우, getchar()의 반환 값은 char로 배정되고 EOF(int)와 비교됩니다. c가 부호가 있는 8 비트 값이고 EOF 부호가 있는 32 비트 값이라고 가정하여 getchar()가 0xFF로 표시된 문자를 반환하는 경우, c의 값은 EOF와 비교해 볼 때 0xFFFFFFFF로 확장된 부호가 됩니다. EOF는 일반적으로 -1(0xFFFFFFFF)로 정의되기 때문에 루프가 실수로 종료됩니다.

References

[1] Distinguish between characters read from a file and EOF or WEOF CERT

[2] Standards Mapping - Common Weakness Enumeration CWE ID 192

[3] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C Guidelines 2012 Rule 10.3

[4] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C Guidelines 2023 Rule 7.5, Rule 7.6, Rule 10.3

[5] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C++ Guidelines 2008 Rule 5-0-3

[6] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C++ Guidelines 2023 Rule 7.0.5, Rule 7.0.6

[7] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.6

[8] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.6

[9] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.6

[10] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.6

[11] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[12] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[13] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[14] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection

[15] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection

[16] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3550 CAT I

[17] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3550 CAT I

[18] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3550 CAT I

[19] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3550 CAT I

[20] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3550 CAT I

[21] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3550 CAT I

[22] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3550 CAT I

desc.structural.cpp.type_mismatch_integer_to_character