Bagikan melalui


CA2356: Himpunan Data tidak aman atau jenis DataTable dalam grafik objek yang dideserialisasi web

Properti Nilai
ID Aturan CA2356
Judul Jenis Himpunan Data atau DataTable tidak aman dalam grafik objek yang dideserialisasi web
Golongan Keamanan
Perbaikan bersifat disruptif atau non-disruptif Non-disruptif
Diaktifkan secara default di .NET 8 Tidak

Penyebab

Metode dengan System.Web.Services.WebMethodAttribute atau System.ServiceModel.OperationContractAttribute memiliki parameter yang dapat mereferensikan DataSet atau DataTable.

Aturan ini menggunakan pendekatan yang berbeda untuk aturan serupa, CA2355: Himpunan Data Tidak Aman atau DataTable dalam grafik objek yang dideserialisasi dan akan menemukan peringatan yang berbeda.

Deskripsi aturan

Saat mendeserialisasi input yang tidak tepercaya dan grafik objek yang dideserialisasi berisi DataSet atau DataTable, penyerang dapat membuat payload berbahaya untuk melakukan penolakan serangan layanan. Mungkin ada kerentanan eksekusi kode jarak jauh yang tidak diketahui.

Untuk informasi selengkapnya, lihat Panduan keamanan Himpunan Data dan DataTable.

Cara memperbaiki pelanggaran

  • Jika memungkinkan, gunakan Entity Framework daripada DataSet dan DataTable.
  • Buat data yang diserialisasi agar tahan rusak. Setelah serialisasi, tanda tangani secara kriptografi data yang diserialisasi. Sebelum deserialisasi, validasi tanda tangan kriptografi. Lindungi kunci kriptografi agar tidak diungkapkan dan didesain untuk rotasi kunci.

Kapan harus menekan peringatan

Aman untuk menyembunyikan peringatan dari aturan ini jika:

  • Anda mengetahui bahwa input-nya tepercaya. Pertimbangkan bahwa batas kepercayaan dan aliran data aplikasi Anda dapat berubah dari waktu ke waktu.
  • Anda telah mengambil salah satu tindakan pencegahan dalam Cara memperbaiki pelanggaran.

Menyembunyikan peringatan

Jika Anda hanya ingin menyembunyikan satu pelanggaran, tambahkan arahan praprosedur ke file sumber Anda untuk dinonaktifkan lalu aktifkan kembali aturannya.

#pragma warning disable CA2356
// The code that's violating the rule is on this line.
#pragma warning restore CA2356

Untuk menonaktifkan aturan untuk file, folder, atau proyek, atur tingkat keparahannya ke none dalam file konfigurasi.

[*.{cs,vb}]
dotnet_diagnostic.CA2356.severity = none

Untuk informasi selengkapnya, lihat Cara menyembunyikan peringatan analisis kode.

Contoh kode semu

Pelanggaran

using System;
using System.Data;
using System.Web.Services;

[WebService(Namespace = "http://contoso.example.com/")]
public class MyService : WebService
{
    [WebMethod]
    public string MyWebMethod(DataTable dataTable)
    {
        return null;
    }
}

CA2350: Pastikan input DataTable.ReadXml() dipercaya

CA2351: Pastikan input DataSet.ReadXml() tepercaya

CA2352: DataSet atau DataTable yang tidak aman dalam jenis yang dapat diserialisasikan dapat rentan terhadap serangan eksekusi kode jarak jauh

CA2353: DataSet atau DataTable yang Tidak Aman dalam jenis yang dapat diserialisasikan

CA2354: DataSet atau DataTable yang Tidak Aman dalam grafik objek yang dideserialisasi dapat rentan terhadap serangan eksekusi kode jarak jauh

CA2355: DataSet atau DataTable yang tidak aman dalam grafik objek yang dideserialisasikan

CA2361: Memastikan input DataSet.ReadXml() tepercaya

CA2362: DataSet atau DataTable yang Tidak Aman dalam jenis yang dapat diserialisasikan yang dapat dibuat secara otomatis dapat menjadi rentan terhadap serangan eksekusi kode jarak jauh