Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
| Properti | Nilai |
|---|---|
| ID Aturan | CA2362 |
| Judul | Himpunan Data tidak aman atau DataTable dalam jenis serializable yang dibuat secara otomatis dapat rentan terhadap serangan eksekusi kode jarak jauh |
| Kategori | Keamanan |
| Perbaikan bersifat merusak atau tidak merusak | Tidak terputus |
| Diaktifkan secara default di .NET 10 | Tidak |
| Bahasa yang berlaku | C# dan Visual Basic |
Penyebab
Kelas atau struktur yang ditandai dengan SerializableAttribute berisi DataSet atau DataTable bidang atau properti, dan memiliki DesignerCategoryAttribute.
CA2352 adalah aturan serupa, ketika DesignerCategoryAttribute tidak ada.
Deskripsi aturan
Saat mendeserialisasi input yang tidak tepercaya dengan BinaryFormatter dan grafik objek yang dideserialisasi berisi DataSet atau DataTable, penyerang dapat membuat payload berbahaya untuk melakukan serangan eksekusi kode jarak jauh.
Aturan ini seperti CA2352, tetapi untuk kode yang dibuat secara otomatis untuk representasi data dalam memori dalam aplikasi GUI. Biasanya, kelas yang dibuat secara otomatis ini tidak dideserialisasi dari input yang tidak tepercaya. Penggunaan aplikasi Anda dapat bervariasi.
Aturan ini mendeteksi tipe yang rentan ketika dideserialisasi. Jika kode Anda tidak mendeserialisasi jenis yang ditemukan, maka Anda tidak memiliki kerentanan deserialisasi.
Untuk informasi selengkapnya, lihat Panduan keamanan Himpunan Data dan DataTable.
Cara memperbaiki pelanggaran
- Jika memungkinkan, gunakan Entity Framework daripada DataSet dan DataTable.
- Buat data yang diserialisasi agar tahan rusak. Setelah serialisasi, tanda tangani secara kriptografi data yang diserialisasi. Sebelum deserialisasi, validasi tanda tangan kriptografi. Lindungi kunci kriptografi agar tidak diungkapkan dan didesain untuk rotasi kunci.
Kapan harus menekan peringatan
Aman untuk menyembunyikan peringatan dari aturan ini jika:
- Jenis yang ditemukan oleh aturan ini tidak pernah dideserialisasi, baik secara langsung maupun tidak langsung.
- Anda mengetahui bahwa input-nya tepercaya. Pertimbangkan bahwa batas kepercayaan dan aliran data aplikasi Anda dapat berubah dari waktu ke waktu.
- Anda telah mengambil salah satu tindakan pencegahan dalam Cara memperbaiki pelanggaran.
Menyembunyikan peringatan
Jika Anda hanya ingin menyembunyikan satu pelanggaran, tambahkan arahan praprosedur ke file sumber Anda untuk dinonaktifkan lalu aktifkan kembali aturannya.
#pragma warning disable CA2362
// The code that's violating the rule is on this line.
#pragma warning restore CA2362
Untuk menonaktifkan aturan untuk file, folder, atau proyek, atur tingkat keparahannya ke none dalam file konfigurasi.
[*.{cs,vb}]
dotnet_diagnostic.CA2362.severity = none
Untuk informasi selengkapnya, lihat Cara menyembunyikan peringatan analisis kode.
Contoh kode semu
Pelanggaran
using System.Data;
using System.Xml.Serialization;
namespace ExampleNamespace
{
[global::System.CodeDom.Compiler.GeneratedCode(""System.Data.Design.TypedDataSetGenerator"", ""2.0.0.0"")]
[global::System.Serializable()]
[global::System.ComponentModel.DesignerCategoryAttribute(""code"")]
[global::System.ComponentModel.ToolboxItem(true)]
[global::System.Xml.Serialization.XmlSchemaProviderAttribute(""GetTypedDataSetSchema"")]
[global::System.Xml.Serialization.XmlRootAttribute(""Package"")]
[global::System.ComponentModel.Design.HelpKeywordAttribute(""vs.data.DataSet"")]
public class ExampleClass : global::System.Data.DataSet {
private DataTable table;
}
}
Aturan terkait
CA2350: Pastikan input DataTable.ReadXml() tepercaya
CA2351: Pastikan input DataSet.ReadXml() tepercaya
CA2353: DataSet atau DataTable yang Tidak Aman dalam jenis yang dapat diserialisasikan
CA2355: DataSet atau DataTable tidak aman dalam diagram objek yang telah dideserialisasi
CA2356: DataSet atau DataTable Tidak Aman dalam grafik objek yang dideserialisasi web
Berkolaborasi dengan kami di GitHub
Sumber untuk konten ini dapat ditemukan di GitHub, yang juga dapat Anda gunakan untuk membuat dan meninjau masalah dan menarik permintaan. Untuk informasi selengkapnya, lihat panduan kontributor kami.
