Comparteix a través de


CA2300: No usar el deserializador no seguro BinaryFormatter

Propiedad Value
Identificador de la regla CA2300
Título No usar el deserializador no seguro BinaryFormatter
Categoría Seguridad
La corrección interrumpe o no interrumpe Poco problemático
Habilitado de forma predeterminada en .NET 9 No

Causa

Se llamó o se hizo referencia a un método de deserialización System.Runtime.Serialization.Formatters.Binary.BinaryFormatter.

Descripción de la regla

Los deserializadores no seguros son vulnerables al deserializar datos que no son de confianza. Un atacante podría modificar los datos serializados para incluir tipos inesperados a fin de insertar objetos con efectos secundarios malintencionados. Un ataque contra un deserializador inseguro podría, por ejemplo, ejecutar comandos en el sistema operativo subyacente, comunicarse a través de la red o eliminar archivos.

Esta regla busca referencias o llamadas al método de deserialización System.Runtime.Serialization.Formatters.Binary.BinaryFormatter. Si quiere deserializar solo cuando la propiedad Binder está establecida para restringir tipos, deshabilite esta regla y habilite las reglas CA2301 y CA2302 en su lugar. Limitar los tipos que se pueden deserializar puede ayudar a mitigar los ataques de ejecución remota de código conocidos, pero la deserialización seguirá siendo vulnerable a los ataques por denegación de servicio.

BinaryFormatter no es seguro y no se puede convertir en seguro. Para obtener más información, vea Guía de seguridad de BinaryFormatter.

Cómo corregir infracciones

  • En su lugar, use un serializador seguro y no permita que un atacante especifique un tipo arbitrario para deserializar. Para obtener más información, vea Alternativas preferidas.
  • Proteja los datos serializados contra alteraciones. Después de la serialización, firme criptográficamente los datos serializados. Antes de la deserialización, valide la firma criptográfica. Proteja la clave criptográfica para que no se revele y diseñe rotaciones de clave.
  • Esta opción hace que el código sea vulnerable a ataques por denegación de servicio y posibles ataques de ejecución remota de código en el futuro. Para obtener más información, vea Guía de seguridad de BinaryFormatter. Restrinja los tipos deserializados. Implemente un elemento System.Runtime.Serialization.SerializationBinder personalizado. Antes de la deserialización, establezca la propiedad Binder en una instancia del elemento SerializationBinder personalizado en todas las rutas de acceso del código. En el método BindToType invalidado, si el tipo es inesperado, inicie una excepción para detener la deserialización.

Cuándo suprimir las advertencias

BinaryFormatter no es seguro y no se puede convertir en seguro.

Ejemplos de pseudocódigo

Infracción

using System.IO;
using System.Runtime.Serialization.Formatters.Binary;

public class ExampleClass
{
    public object MyDeserialize(byte[] bytes)
    {
        BinaryFormatter formatter = new BinaryFormatter();
        return formatter.Deserialize(new MemoryStream(bytes));
    }
}
Imports System.IO
Imports System.Runtime.Serialization.Formatters.Binary

Public Class ExampleClass
    Public Function MyDeserialize(bytes As Byte()) As Object
        Dim formatter As BinaryFormatter = New BinaryFormatter()
        Return formatter.Deserialize(New MemoryStream(bytes))
    End Function
End Class

CA2301: No llamar a BinaryFormatter.Deserialize sin establecer primero BinaryFormatter.Binder

CA2302: Asegurarse de que BinaryFormatter.Binder está establecido antes de llamar a BinaryFormatter.Deserialize