CA3009: Revisión de código en busca de vulnerabilidades de inyección de XML
| Propiedad | Value |
|---|---|
| Identificador de la regla | CA3009 |
| Título | Revisión de código en busca de vulnerabilidades de inyección de XML |
| Categoría | Seguridad |
| La corrección interrumpe o no interrumpe | Poco problemático |
| Habilitado de forma predeterminada en .NET 8 | No |
Causa
Una entrada de solicitudes HTTP que puede no ser de confianza llega a la salida XML sin procesar.
De forma predeterminada, esta regla analiza todo el código base, pero esto es configurable.
Descripción de la regla
Al trabajar con una entrada que no es de confianza, tenga en cuentan los ataques por inyección de XML. Un atacante puede usar la inyección de XML para insertar caracteres especiales en un documento XML, lo que convierte el documento en XML no válido. Un atacante podría insertar de forma malintencionada los nodos XML de su elección.
Esta regla intenta buscar la entrada de las solicitudes HTTP que llega a una escritura XML sin procesar.
Nota
Esta regla no puede realizar el seguimiento de los datos entre ensamblados. Por ejemplo, si un ensamblado lee la entrada de la solicitud HTTP y, a continuación, la pasa a otro ensamblado que escribe XML sin procesar, esta regla no generará ninguna advertencia.
Nota
Existe un límite configurable para el nivel de profundidad con que esta regla analizará el flujo de datos a través de las llamadas a métodos. Vea Configuración del analizador para saber cómo configurar el límite en un archivo EditorConfig.
Cómo corregir infracciones
Para corregir una infracción, use una de las técnicas siguientes:
- No escriba XML sin procesar. En su lugar, use métodos o propiedades que codifiquen su entrada como XML.
- Codifique la entrada como XML antes de escribir XML sin procesar.
- Valide los datos proporcionados por el usuario mediante las clases sanitizer para la conversión de tipos primitivos y la codificación XML.
Cuándo suprimir las advertencias
No suprima las advertencias de esta regla.
Ejemplos de pseudocódigo
Infracción
En este ejemplo, la entrada se establece en la propiedad InnerXml del elemento raíz. Dada la entrada que contiene XML válido, un usuario malintencionado puede modificar completamente el documento. Observe que alice ya no es un usuario permitido después de agregar la entrada del usuario al documento.
protected void Page_Load(object sender, EventArgs e)
{
XmlDocument d = new XmlDocument();
XmlElement root = d.CreateElement("root");
d.AppendChild(root);
XmlElement allowedUser = d.CreateElement("allowedUser");
root.AppendChild(allowedUser);
allowedUser.InnerXml = "alice";
string input = Request.Form["in"];
root.InnerXml = input;
}
Sub Page_Load(sender As Object, e As EventArgs)
Dim d As XmlDocument = New XmlDocument()
Dim root As XmlElement = d.CreateElement("root")
d.AppendChild(root)
Dim allowedUser As XmlElement = d.CreateElement("allowedUser")
root.AppendChild(allowedUser)
allowedUser.InnerXml = "alice"
Dim input As String = Request.Form("in")
root.InnerXml = input
End Sub
Si un atacante lo usa para la entrada: some text<allowedUser>oscar</allowedUser>, luego el documento XML será:
<root>some text<allowedUser>oscar</allowedUser>
</root>
Solución
Para corregir esta infracción, establezca la entrada en la propiedad InnerText del elemento raíz en lugar de la propiedad InnerXml.
protected void Page_Load(object sender, EventArgs e)
{
XmlDocument d = new XmlDocument();
XmlElement root = d.CreateElement("root");
d.AppendChild(root);
XmlElement allowedUser = d.CreateElement("allowedUser");
root.AppendChild(allowedUser);
allowedUser.InnerText = "alice";
string input = Request.Form["in"];
root.InnerText = input;
}
Sub Page_Load(sender As Object, e As EventArgs)
Dim d As XmlDocument = New XmlDocument()
Dim root As XmlElement = d.CreateElement("root")
d.AppendChild(root)
Dim allowedUser As XmlElement = d.CreateElement("allowedUser")
root.AppendChild(allowedUser)
allowedUser.InnerText = "alice"
Dim input As String = Request.Form("in")
root.InnerText = input
End Sub
Si un atacante lo usa para la entrada: some text<allowedUser>oscar</allowedUser>, luego el documento XML será:
<root>some text<allowedUser>oscar</allowedUser>
<allowedUser>alice</allowedUser>
</root>
Configuración del código para analizar
Use las opciones siguientes para configurar en qué partes del código base se va a ejecutar esta regla.
Puede configurar estas opciones solo para esta regla, para todas las reglas a las que se aplica o para todas las reglas de esta categoría (Seguridad) a las que se aplica. Para más información, vea Opciones de configuración de reglas de calidad de código.
Exclusión de símbolos específicos
Puede excluir símbolos específicos, como tipos y métodos, del análisis. Por ejemplo, para especificar que la regla no se debe ejecutar en ningún código dentro de los tipos con el nombre MyType, agregue el siguiente par clave-valor a un archivo .editorconfig en el proyecto:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
Formatos de nombre de símbolo permitidos en el valor de opción (separados por |):
- Solo nombre de símbolo (incluye todos los símbolos con el nombre, con independencia del tipo contenedor o el espacio de nombres).
- Nombres completos en el formato de id. de documentación del símbolo. Cada nombre de símbolo necesita un prefijo de tipo símbolo, como
M:para los métodos,T:para los tipos yN:para los espacios de nombres. .ctorpara los constructores y.cctorpara los constructores estáticos.
Ejemplos:
| Valor de la opción | Resumen |
|---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
Coincide con todos los símbolos denominados MyType. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
Coincide con todos los símbolos denominados MyType1 o MyType2. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
Coincide con un método MyMethod concreto con la signatura completa especificada. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
Coincide con los métodos MyMethod1 y MyMethod2 concretos con las signaturas completas especificadas. |
Exclusión de tipos específicos y sus tipos derivados
Puede excluir tipos específicos y sus tipos derivados del análisis. Por ejemplo, para especificar que la regla no se debe ejecutar en ningún método dentro de los tipos con el nombre MyType y sus tipos derivados, agregue el siguiente par clave-valor a un archivo .editorconfig en el proyecto:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
Formatos de nombre de símbolo permitidos en el valor de opción (separados por |):
- Solo nombre de tipo (incluye todos los tipos con el nombre, con independencia del tipo contenedor o el espacio de nombres).
- Nombres completos en el formato de identificador de documentación del símbolo, con un prefijo
T:opcional.
Ejemplos:
| Valor de la opción | Resumen |
|---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
Coincide con todos los tipos denominados MyType y todos sus tipos derivados. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
Coincide con todos los tipos denominados MyType1 o MyType2, y todos sus tipos derivados. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
Coincide con un tipo MyType específico con el nombre completo dado y todos sus tipos derivados. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
Coincide con los tipos MyType1 y MyType2 específicos con los correspondientes nombres completos y todos sus tipos derivados. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de