CA3003: Code controleren op beveiligingsproblemen met bestandspadinjecties

Eigenschappen	Weergegeven als
Regel-id	CA3003
Titel	Code controleren op beveiligingsproblemen met bestandspadinjecties
Categorie	Beveiliging
Oplossing is brekend of niet-brekend	Niet-brekend
Standaard ingeschakeld in .NET 8	Nee

Oorzaak

Mogelijk niet-vertrouwde HTTP-aanvraaginvoer bereikt het pad van een bestandsbewerking.

Deze regel analyseert standaard de hele codebasis, maar dit kan worden geconfigureerd.

Beschrijving van regel

Wanneer u werkt met niet-vertrouwde invoer van webaanvragen, moet u rekening houden met het gebruik van door de gebruiker beheerde invoer bij het opgeven van paden naar bestanden. Een aanvaller kan mogelijk een onbedoeld bestand lezen, wat resulteert in openbaarmaking van gevoelige gegevens. Of een aanvaller kan mogelijk schrijven naar een onbedoeld bestand, wat resulteert in onbevoegde wijziging van gevoelige gegevens of in gevaar brengen van de beveiliging van de server. Een veelvoorkomende aanvalstechniek is Path Traversal voor toegang tot bestanden buiten de beoogde map.

Met deze regel wordt geprobeerd invoer van HTTP-aanvragen te vinden die een pad bereiken in een bestandsbewerking.

Notitie

Met deze regel kunnen geen gegevens in assembly's worden bijgehouden. Als een assembly bijvoorbeeld de HTTP-aanvraaginvoer leest en deze vervolgens doorgeeft aan een andere assembly die naar een bestand schrijft, produceert deze regel geen waarschuwing.

Notitie

Er is een configureerbare limiet voor hoe diep deze regel de gegevensstroom analyseert tussen methode-aanroepen. Zie Analyzer Configuration voor het configureren van de limiet in een EditorConfig-bestand.

Schendingen oplossen

• Beperk indien mogelijk bestandspaden op basis van gebruikersinvoer naar een expliciet bekende veilige lijst. Als uw toepassing bijvoorbeeld alleen toegang nodig heeft tot 'red.txt', 'green.txt' of 'blue.txt', staat u deze waarden alleen toe.
• Controleer op niet-vertrouwde bestandsnamen en controleer of de naam goed is gevormd.
• Gebruik volledige padnamen bij het opgeven van paden.
• Vermijd potentieel gevaarlijke constructies, zoals padomgevingsvariabelen.
• Accepteer alleen lange bestandsnamen en valideer lange naam als de gebruiker korte namen indient.
• Beperk invoer van eindgebruikers tot geldige tekens.
• Namen weigeren waarbij MAX_PATH lengte wordt overschreden.
• Bestandsnamen letterlijk verwerken, zonder interpretatie.
• Bepaal of de bestandsnaam een bestand of een apparaat vertegenwoordigt.

Wanneer waarschuwingen onderdrukken

Als u invoer hebt gevalideerd zoals beschreven in de vorige sectie, kunt u deze waarschuwing onderdrukken.

Code configureren om te analyseren

Gebruik de volgende opties om te configureren op welke onderdelen van uw codebase deze regel moet worden uitgevoerd.

• Specifieke symbolen uitsluiten
• Specifieke typen en hun afgeleide typen uitsluiten

U kunt deze opties configureren voor alleen deze regel, voor alle regels waarop deze van toepassing is, of voor alle regels in deze categorie (beveiliging) waarop deze van toepassing is. Zie de configuratieopties voor de codekwaliteitsregel voor meer informatie.

Specifieke symbolen uitsluiten

U kunt specifieke symbolen, zoals typen en methoden, uitsluiten van analyse. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op code binnen benoemde MyTypetypen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:

dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType

Toegestane notaties voor symboolnamen in de optiewaarde (gescheiden door |):

• Alleen symboolnaam (inclusief alle symbolen met de naam, ongeacht het type of de naamruimte).
• Volledig gekwalificeerde namen in de documentatie-id-indeling van het symbool. Voor elke symboolnaam is een voorvoegsel van het type symbool vereist, zoals M: voor methoden, T: voor typen en N: voor naamruimten.
• .ctor voor constructors en .cctor voor statische constructors.

Voorbeelden:

Optiewaarde	Samenvatting
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType	Komt overeen met alle symbolen met de naam MyType.
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2	Komt overeen met alle symbolen met de naam of MyType1MyType2.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType)	Komt overeen met een specifieke methode MyMethod met de opgegeven volledig gekwalificeerde handtekening.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType)	Komt overeen met specifieke methoden MyMethod1 en MyMethod2 met de respectieve volledig gekwalificeerde handtekeningen.

Specifieke typen en hun afgeleide typen uitsluiten

U kunt specifieke typen en hun afgeleide typen uitsluiten van analyse. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op methoden binnen benoemde MyType typen en de afgeleide typen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:

dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType

Toegestane notaties voor symboolnamen in de optiewaarde (gescheiden door |):

• Alleen de naam van het type (bevat alle typen met de naam, ongeacht het type of de naamruimte).
• Volledig gekwalificeerde namen in de documentatie-id-indeling van het symbool, met een optioneel T: voorvoegsel.

Voorbeelden:

Optiewaarde	Samenvatting
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType	Komt overeen met alle typen met de naam MyType en alle afgeleide typen.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2	Komt overeen met alle typen met de naam MyType1 of MyType2 en alle afgeleide typen.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType	Komt overeen met een specifiek type MyType met een volledig gekwalificeerde naam en alle afgeleide typen.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2	Komt overeen met specifieke typen MyType1 en MyType2 met de respectieve volledig gekwalificeerde namen en alle afgeleide typen.

Voorbeelden van pseudocode

Schending

using System;
using System.IO;

public partial class WebForm : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        string userInput = Request.Params["UserInput"];
        // Assume the following directory structure:
        //   wwwroot\currentWebDirectory\user1.txt
        //   wwwroot\currentWebDirectory\user2.txt
        //   wwwroot\secret\allsecrets.txt
        // There is nothing wrong if the user inputs:
        //   user1.txt
        // However, if the user input is:
        //   ..\secret\allsecrets.txt
        // Then an attacker can now see all the secrets.

        // Avoid this:
        using (File.Open(userInput, FileMode.Open))
        {
            // Read a file with the name supplied by user
            // Input through request's query string and display
            // The content to the webpage.
        }
    }
}

Imports System
Imports System.IO

Partial Public Class WebForm
    Inherits System.Web.UI.Page

    Protected Sub Page_Load(sender As Object, e As EventArgs)
        Dim userInput As String = Me.Request.Params("UserInput")
        ' Assume the following directory structure:
        '   wwwroot\currentWebDirectory\user1.txt
        '   wwwroot\currentWebDirectory\user2.txt
        '   wwwroot\secret\allsecrets.txt
        ' There is nothing wrong if the user inputs:
        '   user1.txt
        ' However, if the user input is:
        '   ..\secret\allsecrets.txt
        ' Then an attacker can now see all the secrets.

        ' Avoid this:
        Using File.Open(userInput, FileMode.Open)
            ' Read a file with the name supplied by user
            ' Input through request's query string and display
            ' The content to the webpage.
        End Using
    End Sub
End Class