CA3005: Meninjau kode untuk kerentanan injeksi LDAP
| Properti | Nilai |
|---|---|
| ID Aturan | CA3005 |
| Judul | Tinjau kode untuk kerentanan injeksi LDAP |
| Golongan | Keamanan |
| Perbaikan bersifat disruptif atau non-disruptif | Non-disruptif |
| Diaktifkan secara default di .NET 8 | No |
Penyebab
Input permintaan HTTP yang berpotensi tidak tepercaya mencapai pernyataan LDAP.
Secara default, aturan ini menganalisis seluruh codebase, tetapi ini dapat dikonfigurasi.
Deskripsi aturan
Saat bekerja dengan input yang tidak tepercaya, perhatikan serangan injeksi Lightweight Directory Access Protocol (LDAP). Penyerang berpotensi menjalankan pernyataan LDAP berbahaya terhadap direktori informasi. Aplikasi yang menggunakan input pengguna untuk membuat pernyataan LDAP dinamis untuk mengakses layanan direktori sangat rentan.
Aturan ini mencoba menemukan input dari permintaan HTTP yang mencapai pernyataan LDAP.
Catatan
Aturan ini tidak dapat melacak data di seluruh assembly. Misalnya, jika satu rakitan membaca input permintaan HTTP dan kemudian meneruskannya ke rakitan lain yang menjalankan pernyataan LDAP, aturan ini tidak akan menghasilkan peringatan.
Catatan
Ada batas yang dapat dikonfigurasi untuk seberapa dalam aturan ini akan menganalisis aliran data di seluruh panggilan metode. Lihat Konfigurasi Penganalisis untuk mengetahui cara mengonfigurasi batas pada file EditorConfig.
Cara memperbaiki pelanggaran
Untuk bagian pernyataan LDAP yang dikontrol pengguna, pertimbangkan satu o:
- Izinkan hanya daftar karakter non-khusus yang aman.
- Melarang karakter khusus
- Karakter khusus escape.
Lihat Cheat Sheet Pencegahan Injeksi LDAP OWASP untuk panduan selengkapnya.
Kapan harus menekan peringatan
Jika Anda tahu input telah divalidasi atau lolos agar aman, tidak apa-apa untuk menekan peringatan ini.
Menyembunyikan peringatan
Jika Anda hanya ingin menyembunyikan satu pelanggaran, tambahkan arahan praprosedur ke file sumber Anda untuk dinonaktifkan lalu aktifkan kembali aturannya.
#pragma warning disable CA3005
// The code that's violating the rule is on this line.
#pragma warning restore CA3005
Untuk menonaktifkan aturan untuk file, folder, atau proyek, atur tingkat keparahannya ke none dalam file konfigurasi.
[*.{cs,vb}]
dotnet_diagnostic.CA3005.severity = none
Untuk informasi selengkapnya, lihat Cara menyembunyikan peringatan analisis kode.
Mengonfigurasi kode yang akan dianalisis
Gunakan opsi berikut untuk mengonfigurasi bagian mana dari codebase Anda yang akan menjalankan aturan ini.
Anda dapat mengonfigurasi opsi ini hanya untuk aturan ini, untuk semua aturan yang berlaku untuknya, atau untuk semua aturan dalam kategori ini (Keamanan) yang diterapkannya. Untuk informasi selengkapnya, lihat Opsi konfigurasi aturan kualitas kode.
Mengecualikan simbol tertentu
Anda dapat mengecualikan simbol tertentu, seperti jenis dan metode, dari analisis. Misalnya, untuk menentukan bahwa aturan tidak boleh berjalan pada kode apa pun dalam jenis bernama MyType, tambahkan pasangan kunci-nilai berikut ke file .editorconfig di proyek Anda:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
Format nama simbol yang diizinkan pada nilai opsi (dipisahkan oleh |):
- Nama simbol saja (menyertakan semua simbol dengan nama, terlepas dari jenis atau namespace yang memuatnya).
- Nama yang sepenuhnya memenuhi syarat dalam format ID dokumentasi simbol. Setiap nama simbol memerlukan awalan jenis simbol, seperti
M:untuk metode,T:untuk jenis, danN:untuk namespace. .ctoruntuk konstruktor dan.cctoruntuk konstruktor statik.
Contoh:
| Nilai Opsi | Ringkasan |
|---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
Mencocokkan semua simbol bernama MyType. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
Mencocokkan semua simbol bernama MyType1 atau MyType2. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
Mencocokkan MyMethod metode tertentu dengan tanda tangan yang sepenuhnya memenuhi syarat yang ditentukan. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
Mencocokkan MyMethod1 dan MyMethod2 metode tertentu dengan masing-masing tanda tangan yang sepenuhnya memenuhi syarat. |
Mengecualikan jenis tertentu dan jenis turunannya
Anda dapat mengecualikan jenis tertentu dan jenis turunannya dari analisis. Misalnya, untuk menentukan bahwa aturan tidak boleh dijalankan pada metode apa pun dalam jenis bernama MyType dan jenis turunannya, tambahkan pasangan kunci-nilai berikut ke file .editorconfig di proyek Anda:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
Format nama simbol yang diizinkan pada nilai opsi (dipisahkan oleh |):
- Nama jenis saja (mencakup semua jenis dengan nama, terlepas dari jenis atau namespace yang memuatnya).
- Nama yang sepenuhnya memenuhi syarat dalam format ID dokumentasi simbol, dengan awalan
T:opsional.
Contoh:
| Nilai Opsi | Ringkasan |
|---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
Mencocokkan semua jenis bernama MyType dan semua jenis turunannya. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
Mencocokkan semua jenis bernama MyType1 atau MyType2 dan semua jenis turunannya. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
Mencocokkan MyType jenis tertentu dengan nama yang sepenuhnya memenuhi syarat tertentu dan semua jenis turunannya. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
Mencocokkan MyType1 dan MyType2 jenis tertentu dengan masing-masing nama yang sepenuhnya memenuhi syarat, dan semua jenis turunannya. |
Contoh kode semu
Pelanggaran
using System;
using System.DirectoryServices;
public partial class WebForm : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string userName = Request.Params["user"];
string filter = "(uid=" + userName + ")"; // searching for the user entry
// In this example, if we send the * character in the user parameter which will
// result in the filter variable in the code to be initialized with (uid=*).
// The resulting LDAP statement will make the server return any object that
// contains a uid attribute.
DirectorySearcher searcher = new DirectorySearcher(filter);
SearchResultCollection results = searcher.FindAll();
// Iterate through each SearchResult in the SearchResultCollection.
foreach (SearchResult searchResult in results)
{
// ...
}
}
}
Imports System
Imports System.DirectoryServices
Partial Public Class WebForm
Inherits System.Web.UI.Page
Protected Sub Page_Load(send As Object, e As EventArgs)
Dim userName As String = Me.Request.Params(""user"")
Dim filter As String = ""(uid="" + userName + "")"" ' searching for the user entry
' In this example, if we send the * character in the user parameter which will
' result in the filter variable in the code to be initialized with (uid=*).
' The resulting LDAP statement will make the server return any object that
' contains a uid attribute.
Dim searcher As DirectorySearcher = new DirectorySearcher(filter)
Dim results As SearchResultCollection = searcher.FindAll()
' Iterate through each SearchResult in the SearchResultCollection.
For Each searchResult As SearchResult in results
' ...
Next searchResult
End Sub
End Class
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk