CA2355: DataSet atau DataTable yang tidak aman dalam grafik objek yang dideserialisasikan
| Properti | Nilai |
|---|---|
| ID Aturan | CA2355 |
| Judul | Himpunan Data tidak aman atau DataTable dalam grafik objek yang dideserialisasi |
| Golongan | Keamanan |
| Perbaikan bersifat disruptif atau non-disruptif | Non-disruptif |
| Diaktifkan secara default di .NET 8 | Tidak |
Penyebab
Mendeserialisasi ketika grafik objek yang ditransmisikan atau ditentukan jenisnya dapat menyertakan DataSet atau DataTable.
Aturan ini menggunakan pendekatan yang berbeda untuk aturan serupa, CA2353: Himpunan Data Tidak Aman atau DataTable dalam jenis yang dapat diserialisasikan.
Jenis yang ditransmisikan atau ditentukan dievaluasi saat:
- Menginisialisasi DataContractSerializer objek
- Menginisialisasi DataContractJsonSerializer objek
- Menginisialisasi XmlSerializer objek
- Melibatkan JavaScriptSerializer.Deserialize
- Melibatkan JavaScriptSerializer.DeserializeObject
- Melibatkan XmlSerializer.FromTypes
- Memanggil Newtonsoft Json.NET JsonSerializer.Deserialize
- Memanggil Newtonsoft Json.NET JsonConvert.DeserializeObject
Deskripsi aturan
Saat mendeserialisasi input yang tidak tepercaya dengan BinaryFormatter dan grafik objek yang dideserialisasi berisi DataSet atau DataTable, penyerang dapat membuat payload berbahaya untuk melakukan penolakan serangan layanan. Mungkin ada kerentanan eksekusi kode jarak jauh yang tidak diketahui.
Untuk informasi selengkapnya, lihat Panduan keamanan Himpunan Data dan DataTable.
Cara memperbaiki pelanggaran
- Jika memungkinkan, gunakan Entity Framework daripada DataSet dan DataTable.
- Buat data yang diserialisasi agar tahan rusak. Setelah serialisasi, tanda tangani secara kriptografi data yang diserialisasi. Sebelum deserialisasi, validasi tanda tangan kriptografi. Lindungi kunci kriptografi agar tidak diungkapkan dan didesain untuk rotasi kunci.
Kapan harus menekan peringatan
Aman untuk menyembunyikan peringatan dari aturan ini jika:
- Anda mengetahui bahwa input-nya tepercaya. Pertimbangkan bahwa batas kepercayaan dan aliran data aplikasi Anda dapat berubah dari waktu ke waktu.
- Anda telah mengambil salah satu tindakan pencegahan dalam Cara memperbaiki pelanggaran.
Menyembunyikan peringatan
Jika Anda hanya ingin menyembunyikan satu pelanggaran, tambahkan arahan praprosedur ke file sumber Anda untuk dinonaktifkan lalu aktifkan kembali aturannya.
#pragma warning disable CA2355
// The code that's violating the rule is on this line.
#pragma warning restore CA2355
Untuk menonaktifkan aturan untuk file, folder, atau proyek, atur tingkat keparahannya ke none dalam file konfigurasi.
[*.{cs,vb}]
dotnet_diagnostic.CA2355.severity = none
Untuk informasi selengkapnya, lihat Cara menyembunyikan peringatan analisis kode.
Contoh kode semu
Pelanggaran
using System.Data;
using System.IO;
using System.Runtime.Serialization;
[Serializable]
public class MyClass
{
public MyOtherClass OtherClass { get; set; }
}
[Serializable]
public class MyOtherClass
{
private DataSet myDataSet;
}
public class ExampleClass
{
public MyClass Deserialize(Stream stream)
{
BinaryFormatter bf = new BinaryFormatter();
return (MyClass) bf.Deserialize(stream);
}
}
Aturan terkait
CA2350: Pastikan input DataTable.ReadXml() dipercaya
CA2351: Pastikan input DataSet.ReadXml() tepercaya
CA2353: DataSet atau DataTable yang Tidak Aman dalam jenis yang dapat diserialisasikan
CA2356: DataSet atau DataTable Tidak Aman dalam grafik objek yang dideserialisasi web
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk