CA3009: Code controleren op beveiligingsproblemen met XML-injectie

Eigenschap Waarde
Regel-id CA3009
Titel Code controleren op beveiligingsproblemen met XML-injectie
Categorie Beveiliging
Fix kan brekend of niet-brekend zijn Niet-brekend
Standaard ingeschakeld in .NET 10 Nee
Toepasselijke talen C# en Visual Basic

Oorzaak

Mogelijk niet-vertrouwde HTTP-aanvraaginvoer bereikt onbewerkte XML-uitvoer.

Deze regel analyseert standaard de hele codebasis, maar dit kan worden geconfigureerd.

Beschrijving van regel

Wanneer u werkt met niet-vertrouwde invoer, moet u rekening houden met XML-injectieaanvallen. Een aanvaller kan XML-injectie gebruiken om speciale tekens in te voegen in een XML-document, waardoor het document ongeldige XML is. Een aanvaller kan ook kwaadwillend XML-knooppunten van hun keuze invoegen.

Deze regel probeert invoer van HTTP-aanvragen te vinden die een onbewerkte XML-schrijfbewerking bereiken.

Notitie

Deze regel kan geen gegevens in assembly's bijhouden. Als de ene assembly bijvoorbeeld de HTTP-aanvraaginvoer leest en deze vervolgens doorgeeft aan een andere assembly die onbewerkte XML schrijft, produceert deze regel geen waarschuwing.

Notitie

Er is een configureerbare limiet voor hoe diep deze regel de gegevensstroom analyseert tussen methode-aanroepen. Zie Analyzer Configuration voor het configureren van de limiet in een EditorConfig-bestand.

Hoe schendingen op te lossen

Gebruik een van de volgende technieken om een schending op te lossen:

  • Schrijf geen onbewerkte XML. Gebruik in plaats daarvan methoden of eigenschappen die de invoer in XML coderen.
  • Voer XML-codering uit op de invoer voordat onbewerkte XML wordt geschreven.
  • Valideer gebruikersinvoer door gebruik te maken van sanitizers voor primitieve typeconversie en XML-codering.

Wanneer waarschuwingen onderdrukken

Onderdrukt geen waarschuwingen van deze regel.

Voorbeelden van pseudocode

Schending

In dit voorbeeld wordt de invoer ingesteld op de InnerXml eigenschap van het hoofdelement. Op basis van invoer die geldige XML bevat, kan een kwaadwillende gebruiker het document vervolgens volledig wijzigen. U ziet dat alice het geen toegestane gebruiker meer is nadat de gebruikersinvoer aan het document is toegevoegd.

protected void Page_Load(object sender, EventArgs e)
{
    XmlDocument d = new XmlDocument();
    XmlElement root = d.CreateElement("root");
    d.AppendChild(root);

    XmlElement allowedUser = d.CreateElement("allowedUser");
    root.AppendChild(allowedUser);
    allowedUser.InnerXml = "alice";

    string input = Request.Form["in"];
    root.InnerXml = input;
}

Sub Page_Load(sender As Object, e As EventArgs)
    Dim d As XmlDocument = New XmlDocument()
    Dim root As XmlElement = d.CreateElement("root")
    d.AppendChild(root)

    Dim allowedUser As XmlElement = d.CreateElement("allowedUser")
    root.AppendChild(allowedUser)
    allowedUser.InnerXml = "alice"

    Dim input As String = Request.Form("in")
    root.InnerXml = input
End Sub

Als een aanvaller dit gebruikt als invoer: some text<allowedUser>oscar</allowedUser>, dan wordt het XML-document:

<root>some text<allowedUser>oscar</allowedUser>
</root>

Oplossing

Als u deze schending wilt oplossen, stelt u de invoer in op de InnerText eigenschap van het hoofdelement in plaats van de InnerXml eigenschap.

protected void Page_Load(object sender, EventArgs e)
{
    XmlDocument d = new XmlDocument();
    XmlElement root = d.CreateElement("root");
    d.AppendChild(root);

    XmlElement allowedUser = d.CreateElement("allowedUser");
    root.AppendChild(allowedUser);
    allowedUser.InnerText = "alice";

    string input = Request.Form["in"];
    root.InnerText = input;
}

Sub Page_Load(sender As Object, e As EventArgs)
    Dim d As XmlDocument = New XmlDocument()
    Dim root As XmlElement = d.CreateElement("root")
    d.AppendChild(root)

    Dim allowedUser As XmlElement = d.CreateElement("allowedUser")
    root.AppendChild(allowedUser)
    allowedUser.InnerText = "alice"

    Dim input As String = Request.Form("in")
    root.InnerText = input
End Sub

Als een aanvaller dit voor invoer gebruikt: some text<allowedUser>oscar</allowedUser>, dan zal het XML-document zijn:

<root>some text&lt;allowedUser&gt;oscar&lt;/allowedUser&gt;
<allowedUser>alice</allowedUser>
</root>

Code configureren om te analyseren

Gebruik de volgende opties om te configureren op welke onderdelen van uw codebase deze regel moet worden uitgevoerd.

U kunt deze opties configureren voor alleen deze regel, voor alle regels waarop ze van toepassing zijn, of voor alle regels in deze categorie (Security) waarop ze van toepassing zijn. Zie de configuratieopties voor de codekwaliteitsregel voor meer informatie.

Specifieke symbolen uitsluiten

U kunt specifieke symbolen, zoals typen en methoden, uitsluiten van analyse door de optie excluded_symbol_names in te stellen. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op code binnen benoemde MyTypetypen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:

dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType

Notitie

Vervang het XXXX deel van CAXXXX door de id van de toepasselijke regel.

Toegestane formaten van symboolnamen in de optiewaarde (gescheiden door |):

  • Alleen symboolnaam (inclusief alle symbolen met de naam, ongeacht het type of de naamruimte).
  • Volledig gekwalificeerde namen in de documentatie-ID-indeling van het symbool. Voor elke symboolnaam is een voorvoegsel van het type symbool vereist, zoals M: voor methoden, T: voor typen en N: voor naamruimten.
  • .ctor voor constructors en .cctor voor statische constructors.

Voorbeelden:

Optiewaarde Samenvatting
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType Komt overeen met alle symbolen met de naam MyType.
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 Komt overeen met alle symbolen met de naam MyType1 of MyType2.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) Komt overeen met een specifieke methode MyMethod met de opgegeven volledig gekwalificeerde handtekening.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) Komt overeen met specifieke methoden MyMethod1 en MyMethod2 met de respectieve volledig gekwalificeerde handtekeningen.

Specifieke typen en hun afgeleide typen uitsluiten

U kunt specifieke typen en hun afgeleide typen uitsluiten van analyse door de optie excluded_type_names_with_derived_types in te stellen. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op methoden binnen benoemde MyType typen en de afgeleide typen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:

dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType

Notitie

Vervang het XXXX deel van CAXXXX door de id van de toepasselijke regel.

Toegestane formaten van symboolnamen in de optiewaarde (gescheiden door |):

  • Alleen de naam van het type (bevat alle typen met de naam, ongeacht het type of de naamruimte).
  • Volledig gekwalificeerde namen in de indeling van de documentatie-ID van het symbool, met een optioneel voorvoegsel.

Voorbeelden:

Optiewaarde Samenvatting
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType Komt overeen met alle typen met de naam MyType en alle afgeleide typen.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 Komt overeen met alle typen met de naam MyType1 of MyType2 en alle afgeleide typen.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType Komt overeen met een specifiek type MyType met een volledig gekwalificeerde naam en alle afgeleide typen.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 Komt overeen met specifieke typen MyType1 en MyType2 met hun respectieve volledig gekwalificeerde namen, en alle afgeleide typen.
  • Last updated on