Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
| Tulajdonság | Érték |
|---|---|
| Szabályazonosító | CA2355 |
| Cím | Nem biztonságos DataSet vagy DataTable deszerializált objektumgráfban |
| Kategória | Biztonság |
| A javítás romboló vagy nem romboló | Nem törhető |
| Alapértelmezés szerint engedélyezve a .NET 10-ben | Nem |
| Alkalmazandó nyelvek | C# és Visual Basic |
Ok
Deszerializálás, ha a leadott vagy a megadott típus objektumgráfja tartalmazhat egy DataSet vagy DataTable.
Ez a szabály más megközelítést alkalmaz egy hasonló szabályhoz, a CA2353-hoz: Nem biztonságos adathalmaz vagy DataTable szerializálható típusban.
A leadott vagy megadott típus kiértékelése a következő esetekben történik:
- Objektum inicializálása DataContractSerializer
- Objektum inicializálása DataContractJsonSerializer
- Objektum inicializálása XmlSerializer
- JavaScriptSerializer.Deserialize meghívása
- Invoking JavaScriptSerializer.DeserializeObject
- Invoking XmlSerializer.FromTypes
- A Newtonsoft Json.NET JsonSerializer.Deserialize meghívása
- A Newtonsoft Json.NET JsonConvert.DeserializeObject meghívása
Szabály leírása
Amikor a nem megbízható bemenetet BinaryFormatter-vel deszerializálja, és a deszerializált objektumdiagram tartalmaz egy DataSet-t vagy egy DataTable-t, a támadó rosszindulatú hasznos terhet hozhat létre szolgáltatásmegtagadási támadás végrehajtásához. Előfordulhat, hogy ismeretlen távoli kódvégrehajtási biztonsági rések vannak.
További információ: DataSet és DataTable biztonsági útmutató.
Szabálysértések kijavítása
- Ha lehetséges, használja az Entity Framework helyett a DataSet és DataTable.
- Tegye a szerializált adatokat manipulációbiztossá. A szerializálás után kriptográfiailag írja alá a szerializált adatokat. A deszerializálás előtt ellenőrizze a titkosítási aláírást. Védje meg a titkosítási kulcsot a nyilvánosságra hozataltól, és tervezzen kulcsforgatást.
Mikor kell letiltani a figyelmeztetéseket?
A szabály figyelmeztetését nyugodtan letilthatja, ha:
- Tudja, hogy a bemenet megbízható. Vegye figyelembe, hogy az alkalmazás megbízhatósági határa és az adatfolyamok idővel változhatnak.
- Megtette a szabálysértések elhárításának egyik óvintézkedését.
Figyelmeztetés mellőzése
Ha csak egyetlen szabálysértést szeretne letiltani, adjon hozzá előfeldolgozási irányelveket a forrásfájlhoz a szabály letiltásához és újbóli engedélyezéséhez.
#pragma warning disable CA2355
// The code that's violating the rule is on this line.
#pragma warning restore CA2355
Ha le szeretné tiltani egy fájl, mappa vagy projekt szabályát, állítsa annak súlyosságát none a konfigurációs fájlban.
[*.{cs,vb}]
dotnet_diagnostic.CA2355.severity = none
További információ: Kódelemzési figyelmeztetések letiltása.
Példák pszeudokódokra
Megsértés
using System.Data;
using System.IO;
using System.Runtime.Serialization;
[Serializable]
public class MyClass
{
public MyOtherClass OtherClass { get; set; }
}
[Serializable]
public class MyOtherClass
{
private DataSet myDataSet;
}
public class ExampleClass
{
public MyClass Deserialize(Stream stream)
{
BinaryFormatter bf = new BinaryFormatter();
return (MyClass) bf.Deserialize(stream);
}
}
Kapcsolódó szabályok
CA2350: Győződjön meg arról, hogy a DataTable.ReadXml() bemenete megbízható
CA2351: Győződjön meg arról, hogy a DataSet.ReadXml() bemenete megbízható
CA2353: Nem biztonságos DataSet vagy DataTable használata szerializálható típusban
CA2356: Nem biztonságos adathalmaz vagy adattábla a webes deszerializált objektumdiagramon
Dolgozzon együtt velünk a GitHubon
A tartalom forrása a GitHubon található, ahol létrehozhat és áttekinthet problémákat és lekéréses kérelmeket is. További információért tekintse meg a közreműködői útmutatónkat.
