CA3009: Code controleren op beveiligingsproblemen met XML-injectie

Eigenschappen	Weergegeven als
Regel-id	CA3009
Titel	Code controleren op beveiligingsproblemen met XML-injectie
Categorie	Beveiliging
Oplossing is brekend of niet-brekend	Niet-brekend
Standaard ingeschakeld in .NET 9	Nee

Oorzaak

Mogelijk niet-vertrouwde HTTP-aanvraaginvoer bereikt onbewerkte XML-uitvoer.

Deze regel analyseert standaard de hele codebasis, maar dit kan worden geconfigureerd.

Beschrijving van regel

Wanneer u werkt met niet-vertrouwde invoer, moet u rekening houden met XML-injectieaanvallen. Een aanvaller kan XML-injectie gebruiken om speciale tekens in te voegen in een XML-document, waardoor het document ongeldige XML is. Een aanvaller kan ook kwaadwillend XML-knooppunten van hun keuze invoegen.

Deze regel probeert invoer van HTTP-aanvragen te vinden die een onbewerkte XML-schrijfbewerking bereiken.

Notitie

Met deze regel kunnen geen gegevens in assembly's worden bijgehouden. Als de ene assembly bijvoorbeeld de HTTP-aanvraaginvoer leest en deze vervolgens doorgeeft aan een andere assembly die onbewerkte XML schrijft, produceert deze regel geen waarschuwing.

Notitie

Er is een configureerbare limiet voor hoe diep deze regel de gegevensstroom analyseert tussen methode-aanroepen. Zie Analyzer Configuration voor het configureren van de limiet in een EditorConfig-bestand.

Schendingen oplossen

Gebruik een van de volgende technieken om een schending op te lossen:

• Schrijf geen onbewerkte XML. Gebruik in plaats daarvan methoden of eigenschappen waarmee xml-invoer wordt gecodeerd.
• XML-coderingsinvoer voordat onbewerkte XML wordt geschreven.
• Valideer gebruikersinvoer met behulp van opschoningen voor primitieve typeconversie en XML-codering.

Wanneer waarschuwingen onderdrukken

Onderdrukt geen waarschuwingen van deze regel.

Voorbeelden van pseudocode

Schending

In dit voorbeeld wordt de invoer ingesteld op de InnerXml eigenschap van het hoofdelement. Op basis van invoer die geldige XML bevat, kan een kwaadwillende gebruiker het document vervolgens volledig wijzigen. U ziet dat alice het geen toegestane gebruiker meer is nadat de gebruikersinvoer aan het document is toegevoegd.

protected void Page_Load(object sender, EventArgs e)
{
    XmlDocument d = new XmlDocument();
    XmlElement root = d.CreateElement("root");
    d.AppendChild(root);

    XmlElement allowedUser = d.CreateElement("allowedUser");
    root.AppendChild(allowedUser);
    allowedUser.InnerXml = "alice";

    string input = Request.Form["in"];
    root.InnerXml = input;
}

Sub Page_Load(sender As Object, e As EventArgs)
    Dim d As XmlDocument = New XmlDocument()
    Dim root As XmlElement = d.CreateElement("root")
    d.AppendChild(root)

    Dim allowedUser As XmlElement = d.CreateElement("allowedUser")
    root.AppendChild(allowedUser)
    allowedUser.InnerXml = "alice"

    Dim input As String = Request.Form("in")
    root.InnerXml = input
End Sub

Als een aanvaller dit gebruikt voor invoer, some text<allowedUser>oscar</allowedUser>is het XML-document:

<root>some text<allowedUser>oscar</allowedUser>
</root>

Oplossing

Als u deze schending wilt oplossen, stelt u de invoer in op de InnerText eigenschap van het hoofdelement in plaats van de InnerXml eigenschap.

protected void Page_Load(object sender, EventArgs e)
{
    XmlDocument d = new XmlDocument();
    XmlElement root = d.CreateElement("root");
    d.AppendChild(root);

    XmlElement allowedUser = d.CreateElement("allowedUser");
    root.AppendChild(allowedUser);
    allowedUser.InnerText = "alice";

    string input = Request.Form["in"];
    root.InnerText = input;
}

Sub Page_Load(sender As Object, e As EventArgs)
    Dim d As XmlDocument = New XmlDocument()
    Dim root As XmlElement = d.CreateElement("root")
    d.AppendChild(root)

    Dim allowedUser As XmlElement = d.CreateElement("allowedUser")
    root.AppendChild(allowedUser)
    allowedUser.InnerText = "alice"

    Dim input As String = Request.Form("in")
    root.InnerText = input
End Sub

Als een aanvaller dit gebruikt voor invoer, some text<allowedUser>oscar</allowedUser>is het XML-document:

<root>some text&lt;allowedUser&gt;oscar&lt;/allowedUser&gt;
<allowedUser>alice</allowedUser>
</root>

Code configureren om te analyseren

Gebruik de volgende opties om te configureren op welke onderdelen van uw codebase deze regel moet worden uitgevoerd.

• Specifieke symbolen uitsluiten
• Specifieke typen en hun afgeleide typen uitsluiten

U kunt deze opties configureren voor alleen deze regel, voor alle regels waarop deze van toepassing is, of voor alle regels in deze categorie (beveiliging) waarop deze van toepassing is. Zie de configuratieopties voor de codekwaliteitsregel voor meer informatie.

Specifieke symbolen uitsluiten

U kunt specifieke symbolen, zoals typen en methoden, uitsluiten van analyse. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op code binnen benoemde MyTypetypen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:

dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType

Toegestane notaties voor symboolnamen in de optiewaarde (gescheiden door |):

• Alleen symboolnaam (inclusief alle symbolen met de naam, ongeacht het type of de naamruimte).
• Volledig gekwalificeerde namen in de documentatie-id-indeling van het symbool. Voor elke symboolnaam is een voorvoegsel van het type symbool vereist, zoals M: voor methoden, T: voor typen en N: voor naamruimten.
• .ctor voor constructors en .cctor voor statische constructors.

Voorbeelden:

Optiewaarde	Samenvatting
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType	Komt overeen met alle symbolen met de naam MyType.
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2	Komt overeen met alle symbolen met de naam of MyType1 MyType2.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType)	Komt overeen met een specifieke methode MyMethod met de opgegeven volledig gekwalificeerde handtekening.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType)	Komt overeen met specifieke methoden MyMethod1 en MyMethod2 met de respectieve volledig gekwalificeerde handtekeningen.

Specifieke typen en hun afgeleide typen uitsluiten

U kunt specifieke typen en hun afgeleide typen uitsluiten van analyse. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op methoden binnen benoemde MyType typen en de afgeleide typen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:

dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType

Toegestane notaties voor symboolnamen in de optiewaarde (gescheiden door |):

• Alleen de naam van het type (bevat alle typen met de naam, ongeacht het type of de naamruimte).
• Volledig gekwalificeerde namen in de documentatie-id-indeling van het symbool, met een optioneel T: voorvoegsel.

Voorbeelden:

Optiewaarde	Samenvatting
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType	Komt overeen met alle typen met de naam MyType en alle afgeleide typen.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2	Komt overeen met alle typen met de naam MyType1 of MyType2 en alle afgeleide typen.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType	Komt overeen met een specifiek type MyType met een volledig gekwalificeerde naam en alle afgeleide typen.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2	Komt overeen met specifieke typen MyType1 en MyType2 met de respectieve volledig gekwalificeerde namen en alle afgeleide typen.