CA2362: Onveilige gegevensset of gegevenstabel in automatisch gegenereerd serializeerbaar type kan kwetsbaar zijn voor aanvallen op uitvoering van externe code
| Eigenschappen | Weergegeven als |
|---|---|
| Regel-id | CA2362 |
| Titel | Onveilige DataSet of DataTable in automatisch gegenereerd serialiseerbare type kan kwetsbaar zijn voor aanvallen op uitvoering van externe code |
| Categorie | Beveiliging |
| Oplossing is brekend of niet-brekend | Niet-brekend |
| Standaard ingeschakeld in .NET 8 | Nee |
Oorzaak
Een klasse of struct die is gemarkeerd met SerializableAttribute een DataSet of DataTable veld of eigenschap en heeft wel een DesignerCategoryAttribute.
CA2352 is een vergelijkbare regel, voor wanneer er geen DesignerCategoryAttribute.
Beschrijving van regel
Bij het deserialiseren van niet-vertrouwde invoer met BinaryFormatter en de deserialized objectgrafiek een DataSet of DataTablebevat, kan een aanvaller een schadelijke nettolading maken om een aanval op de uitvoering van externe code uit te voeren.
Deze regel is net als CA2352, maar voor automatisch gegenereerde code voor een in-memory weergave van gegevens in een GUI-toepassing. Deze automatisch gegenereerde klassen worden meestal niet gedeserialiseerd van niet-vertrouwde invoer. Het gebruik van uw toepassing kan variëren.
Met deze regel worden typen gevonden die onveilig zijn wanneer ze worden gedeserialiseerd. Als de gevonden typen niet door uw code worden gedeserialiseerd, hebt u geen deserialisatieprobleem.
Zie de beveiligingsrichtlijnen voor DataSet en DataTable voor meer informatie.
Schendingen oplossen
- Gebruik, indien mogelijk, Entity Framework in plaats DataSet van en DataTable.
- Maak de geserialiseerde gegevens manipulatiebestendig. Na serialisatie tekent u de geserialiseerde gegevens cryptografisch. Voordat deserialisatie wordt gedeserialiseerd, valideert u de cryptografische handtekening. Beveilig de cryptografische sleutel tegen openbaarmaking en ontwerp voor sleutelrotaties.
Wanneer waarschuwingen onderdrukken
Het is veilig om een waarschuwing van deze regel te onderdrukken als:
- Het type dat door deze regel wordt gevonden, wordt nooit gedeserialiseerd, hetzij direct of indirect.
- U weet dat de invoer wordt vertrouwd. Houd er rekening mee dat de vertrouwensgrens en gegevensstromen van uw toepassing na verloop van tijd kunnen veranderen.
- U hebt een van de voorzorgsmaatregelen genomen in Het oplossen van schendingen.
Een waarschuwing onderdrukken
Als u slechts één schending wilt onderdrukken, voegt u preprocessorrichtlijnen toe aan uw bronbestand om de regel uit te schakelen en vervolgens opnieuw in te schakelen.
#pragma warning disable CA2362
// The code that's violating the rule is on this line.
#pragma warning restore CA2362
Als u de regel voor een bestand, map of project wilt uitschakelen, stelt u de ernst none ervan in op het configuratiebestand.
[*.{cs,vb}]
dotnet_diagnostic.CA2362.severity = none
Zie Codeanalysewaarschuwingen onderdrukken voor meer informatie.
Voorbeelden van pseudocode
Schending
using System.Data;
using System.Xml.Serialization;
namespace ExampleNamespace
{
[global::System.CodeDom.Compiler.GeneratedCode(""System.Data.Design.TypedDataSetGenerator"", ""2.0.0.0"")]
[global::System.Serializable()]
[global::System.ComponentModel.DesignerCategoryAttribute(""code"")]
[global::System.ComponentModel.ToolboxItem(true)]
[global::System.Xml.Serialization.XmlSchemaProviderAttribute(""GetTypedDataSetSchema"")]
[global::System.Xml.Serialization.XmlRootAttribute(""Package"")]
[global::System.ComponentModel.Design.HelpKeywordAttribute(""vs.data.DataSet"")]
public class ExampleClass : global::System.Data.DataSet {
private DataTable table;
}
}
Gerelateerde regels
CA2350: Zorg ervoor dat de invoer van DataTable.ReadXml() wordt vertrouwd
CA2351: Zorg ervoor dat de invoer van DataSet.ReadXml() wordt vertrouwd
CA2353: Onveilige gegevensset of gegevenstabel in serialiseerbare type
CA2355: Onveilige gegevensset of gegevenstabel in de grafiek met gedeserialiseerde objecten
CA2356: Onveilige gegevensset of gegevenstabel in grafiek met webdeserialized objecten
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor