CA2352:シリアル化可能な型の安全でない DataSet または DataTable は、リモートコード実行攻撃に対して脆弱になる可能性があります

[アーティクル]
09/07/2023

プロパティ	値
ルール ID	CA2352
Title	シリアル化可能な型の安全でない DataSet または DataTable は、リモートコード実行攻撃に対して脆弱になる可能性があります
[カテゴリ]	Security
修正が中断か中断なしであるか	なし
.NET 8 では既定で有効	いいえ

原因

SerializableAttribute でマークされたクラスまたは構造体に DataSet または DataTable フィールドまたはプロパティは含まれていますが、DesignerCategoryAttribute はありません。

CA2362 は、DesignerCategoryAttribute が存在する場合の同様の規則です。

規則の説明

BinaryFormatter で信頼されていない入力を逆シリアル化し、逆シリアル化されたオブジェクトグラフに DataSet または DataTable が含まれている場合、攻撃者が悪意のあるペイロードを作成して、リモートコード実行攻撃を仕掛ける可能性があります。

この規則では、逆シリアル化時に安全ではない型を検出します。検出された型をコードで逆シリアル化しない場合、逆シリアル化の脆弱性はありません。

詳細については、「DataSet と DataTable のセキュリティガイダンス」を参照してください。

違反の修正方法

可能であれば、DataSet および DataTable ではなく、Entity Framework を使用します。
シリアル化されたデータを改ざん防止にします。シリアル化後に、シリアル化されたデータに暗号化署名します。逆シリアル化する前に、暗号化署名を検証します。暗号化キーの開示を防止し、キーのローテーションを設計します。

どのようなときに警告を抑制するか

次の場合は、このルールの警告を抑制できます。

この規則によって検出された型が、直接的または間接的に、決して逆シリアル化されない。
入力が信頼されていることがわかっている。アプリケーションの信頼境界とデータフローは時間の経過と共に変わる可能性があることを考慮する。
違反を修正する方法のいずれかの予防措置を講じた。

警告を抑制する

単一の違反を抑制するだけの場合は、ソースファイルにプリプロセッサディレクティブを追加して無効にしてから、規則をもう一度有効にします。

#pragma warning disable CA2352
// The code that's violating the rule is on this line.
#pragma warning restore CA2352

ファイル、フォルダー、またはプロジェクトの規則を無効にするには、構成ファイルでその重要度を none に設定します。

[*.{cs,vb}]
dotnet_diagnostic.CA2352.severity = none

詳細については、「コード分析の警告を抑制する方法」を参照してください。

疑似コードの例

違反

using System.Data;
using System.Runtime.Serialization;

[Serializable]
public class MyClass
{
    public DataSet MyDataSet { get; set; }
}

CA2350:DataTable.ReadXml() の入力が信頼されていることを確認してください

CA2351:DataSet.ReadXml() の入力が信頼されていることを確認してください

CA2353: シリアル化可能な型の安全でない DataSet または DataTable

CA2354:逆シリアル化されたオブジェクトグラフの安全でない DataSet または DataTable は、リモートコード実行攻撃に対して脆弱になる可能性があります

CA2355:逆シリアル化されたオブジェクトグラフの安全でない DataSet または DataTable

CA2356: Web の逆シリアル化されたオブジェクトグラフの安全でない DataSet または DataTable

CA2361: DataSet.ReadXml() を含む自動生成クラスが信頼されていないデータで使用されていないことを確認してください

CA2362: シリアル化可能な自動生成型の安全でない DataSet または DataTable は、リモートコード実行攻撃に対して脆弱になる可能性があります

次の方法で共有

CA2352:シリアル化可能な型の安全でない DataSet または DataTable は、リモートコード実行攻撃に対して脆弱になる可能性があります

原因

規則の説明

違反の修正方法

どのようなときに警告を抑制するか

警告を抑制する

疑似コードの例

違反

その他のリソース

次の方法で共有

CA2352:シリアル化可能な型の安全でない DataSet または DataTable は、リモート コード実行攻撃に対して脆弱になる可能性があります

原因

規則の説明

違反の修正方法

どのようなときに警告を抑制するか

警告を抑制する

疑似コードの例

違反

関連規則

その他のリソース

CA2352:シリアル化可能な型の安全でない DataSet または DataTable は、リモートコード実行攻撃に対して脆弱になる可能性があります