CA2362: A nem biztonságos adathalmaz vagy az automatikusan szerializálható típusú DataTable sebezhető lehet a távoli kódvégrehajtási támadásokkal szemben
| Tulajdonság | Érték |
|---|---|
| Szabályazonosító | CA2362 |
| Cím | Az automatikusan szerializálható típusú Nem biztonságos adathalmaz vagy DataTable sebezhető lehet a távoli kódvégrehajtási támadásokkal szemben |
| Kategória | Biztonság |
| A javítás kompatibilitástörő vagy nem törik | Nem törés |
| Alapértelmezés szerint engedélyezve a .NET 8-ban | Nem |
Ok
Egy osztály vagy struktúra SerializableAttribute egy vagy több DataSet mezőt vagy DataTable tulajdonságot tartalmaz, és rendelkezik egy DesignerCategoryAttribute.
A CA2352 hasonló szabály, ha nincs DesignerCategoryAttribute.
Szabály leírása
Ha a nem megbízható bemenetet BinaryFormatter deszerializálja, és a deszerializált objektumdiagram tartalmaz egy DataSet vagy DataTable, a támadó rosszindulatú hasznos adatokat hozhat létre egy távoli kódvégrehajtási támadás végrehajtásához.
Ez a szabály a CA2352-hez hasonló, de az automatikusan létrehozott kód esetében, amely egy grafikus felhasználói felületű alkalmazásban lévő adatok memórián belüli ábrázolásához szükséges. Ezek az automatikusan létrehozott osztályok általában nem deszerializálva vannak a nem megbízható bemenetből. Az alkalmazás használata eltérő lehet.
Ez a szabály megkeresi azokat a típusokat, amelyek nem biztonságosak deszerializálva. Ha a kód nem deszerializálja a talált típusokat, akkor nincs deszerializálási biztonsági rése.
További információ: DataSet és DataTable biztonsági útmutató.
Szabálysértések kijavítása
- Ha lehetséges, használja az Entity Frameworkt ahelyett, hogy DataSet a .DataTable
- Végezze el a szerializált adatok illetéktelen illetéktelen beavatkozását. A szerializálás után kriptográfiailag írja alá a szerializált adatokat. A deszerializálás előtt ellenőrizze a titkosítási aláírást. Védje meg a titkosítási kulcsot a nyilvánosságra hozataltól, és tervezzen kulcsforgatást.
Mikor kell letiltani a figyelmeztetéseket?
A szabály figyelmeztetését nyugodtan letilthatja, ha:
- A szabály által talált típus soha nem deszerializálódik közvetlenül vagy közvetve.
- Tudja, hogy a bemenet megbízható. Vegye figyelembe, hogy az alkalmazás megbízhatósági határa és az adatfolyamok idővel változhatnak.
- Megtette a szabálysértések elhárításának egyik óvintézkedését.
Figyelmeztetés mellőzése
Ha csak egyetlen szabálysértést szeretne letiltani, adjon hozzá előfeldolgozási irányelveket a forrásfájlhoz a szabály letiltásához és újbóli engedélyezéséhez.
#pragma warning disable CA2362
// The code that's violating the rule is on this line.
#pragma warning restore CA2362
Ha le szeretné tiltani egy fájl, mappa vagy projekt szabályát, állítsa annak súlyosságát none a konfigurációs fájlban.
[*.{cs,vb}]
dotnet_diagnostic.CA2362.severity = none
További információ: Kódelemzési figyelmeztetések letiltása.
Példák pszeudokódokra
Megsértése
using System.Data;
using System.Xml.Serialization;
namespace ExampleNamespace
{
[global::System.CodeDom.Compiler.GeneratedCode(""System.Data.Design.TypedDataSetGenerator"", ""2.0.0.0"")]
[global::System.Serializable()]
[global::System.ComponentModel.DesignerCategoryAttribute(""code"")]
[global::System.ComponentModel.ToolboxItem(true)]
[global::System.Xml.Serialization.XmlSchemaProviderAttribute(""GetTypedDataSetSchema"")]
[global::System.Xml.Serialization.XmlRootAttribute(""Package"")]
[global::System.ComponentModel.Design.HelpKeywordAttribute(""vs.data.DataSet"")]
public class ExampleClass : global::System.Data.DataSet {
private DataTable table;
}
}
Kapcsolódó szabályok
CA2350: Győződjön meg arról, hogy a DataTable.ReadXml() bemenete megbízható
CA2351: Győződjön meg arról, hogy a DataSet.ReadXml() bemenete megbízható
CA2353: Nem biztonságos dataSet vagy DataTable szerializálható típusban
CA2355: Nem biztonságos adathalmaz vagy DataTable deszerializált objektumgráfban
CA2356: Nem biztonságos adathalmaz vagy adattábla a webes deszerializált objektumdiagramon
