CA2310: Nepoužívejte nezabezpečený deserializátor NetDataContractSerializer

Vlastnost Hodnota
ID pravidla CA2310
Název Nepoužívat nezabezpečený deserializátor NetDataContractSerializer
Kategorie Zabezpečení
Oprava, která může být destruktivní nebo nedestruktivní Nezlomitelný
Povoleno ve výchozím nastavení v .NET 10 Ne
Příslušné jazyky C# a Visual Basic

Příčina

Metoda System.Runtime.Serialization.NetDataContractSerializer deserializace byla volána nebo odkazována.

Popis pravidla

Nezabezpečené deserializátory jsou zranitelné při deserializaci nedůvěryhodných dat. Útočník by mohl serializovaná data upravit tak, aby zahrnovala neočekávané typy pro vložení objektů se škodlivými vedlejšími účinky. Útok na nezabezpečený deserializátor může například spouštět příkazy v podkladovém operačním systému, komunikovat přes síť nebo odstraňovat soubory.

Toto pravidlo najde System.Runtime.Serialization.NetDataContractSerializer volání nebo odkazy metody deserializace. Pokud chcete deserializovat pouze v případě, že je vlastnost Binder nastavena na omezení typů, zakažte toto pravidlo a místo toho povolte pravidla CA2311 a CA2312. Omezení typů, které je možné deserializovat, může pomoct zmírnit proti známým útokům vzdáleného spuštění kódu, ale vaše deserializace bude stále zranitelná vůči útokům na dostupnost služby.

NetDataContractSerializer je nezabezpečený a nedá se zabezpečit. Další informace naleznete v příručce zabezpečení BinaryFormatter.

Jak opravit porušení

  • Místo toho použijte zabezpečený serializátor a nepovolte útočníkovi zadat libovolný typ deserializace. Další informace najdete v upřednostňovaných alternativách.
  • Zabezpečte serializovaná data proti neoprávněné manipulaci. Po serializaci kryptograficky podepisujte serializovaná data. Před deserializací ověřte kryptografický podpis. Chraňte kryptografický klíč před zveřejněním a navrhněte obměny klíčů.
  • Díky této možnosti je kód v budoucnu zranitelný vůči útokům na dostupnost služby a možným útokům vzdáleného spuštění kódu. Další informace naleznete v příručce zabezpečení BinaryFormatter. Omezit deserializované typy Implementovat vlastní System.Runtime.Serialization.SerializationBinder. Před deserializací nastavte Binder vlastnost na instanci svého vlastního SerializationBinder ve všech možných větvích kódu. V přepsané metodě BindToType, je-li typ neočekávaný, vyvolejte výjimku pro zastavení deserializace.

Kdy potlačit upozornění

NetDataContractSerializer je nezabezpečený a nedá se zabezpečit.

Příklady pseudokódu

Porušení

using System.IO;
using System.Runtime.Serialization;

public class ExampleClass
{
    public object MyDeserialize(byte[] bytes)
    {
        NetDataContractSerializer serializer = new NetDataContractSerializer();
        return serializer.Deserialize(new MemoryStream(bytes));
    }
}
Imports System.IO
Imports System.Runtime.Serialization

Public Class ExampleClass
    Public Function MyDeserialize(bytes As Byte()) As Object
        Dim serializer As NetDataContractSerializer = New NetDataContractSerializer()
        Return serializer.Deserialize(New MemoryStream(bytes))
    End Function
End Class

CA2311: Nedeserializujte bez prvního nastavení NetDataContractSerializer.Binder

CA2312: Před deserializací se ujistěte, že je nastavená vlastnost NetDataContractSerializer.Binder