CA3009: Revisar o código para vulnerabilidades de injeção de XML

Property	valor
ID da regra	CA3009
Título	Revisar o código para vulnerabilidades de injeção de XML
Categoria	Segurança
A correção está quebrando ou não quebrando	Sem quebra
Habilitado por padrão no .NET 8	Não

Motivo

A entrada de solicitação HTTP potencialmente não confiável alcança a saída XML bruta.

Por padrão, essa regra analisa toda a base de código, mas isso é configurável.

Descrição da regra

Ao trabalhar com entradas não confiáveis, esteja atento aos ataques de injeção de XML. Um invasor pode usar a injeção de XML para inserir caracteres especiais em um documento XML, tornando o documento XML inválido. Ou, um invasor pode inserir maliciosamente nós XML de sua escolha.

Esta regra tenta localizar entradas de solicitações HTTP que atingem uma gravação XML bruta.

Nota

Esta regra não pode rastrear dados entre assemblies. Por exemplo, se um assembly ler a entrada de solicitação HTTP e, em seguida, passá-la para outro assembly que grava XML bruto, essa regra não produzirá um aviso.

Nota

Há um limite configurável para a profundidade com que essa regra analisará o fluxo de dados entre chamadas de método. Consulte Configuração do Analyzer para saber como configurar o limite em um arquivo EditorConfig.

Como corrigir violações

Para corrigir uma violação, use uma das seguintes técnicas:

• Não escreva XML bruto. Em vez disso, use métodos ou propriedades que codificam XML sua entrada.
• Entrada de codificação XML antes de escrever XML bruto.
• Valide a entrada do usuário usando sanitizers para conversão de tipo primitivo e codificação XML.

Quando suprimir avisos

Não suprima avisos desta regra.

Exemplos de pseudocódigo

Violação

Neste exemplo, a entrada é definida como a InnerXml propriedade do elemento raiz. Dada a entrada que contém XML válido, um usuário mal-intencionado pode alterar completamente o documento. Observe que não é mais um usuário permitido depois que alice a entrada do usuário é adicionada ao documento.

protected void Page_Load(object sender, EventArgs e)
{
    XmlDocument d = new XmlDocument();
    XmlElement root = d.CreateElement("root");
    d.AppendChild(root);

    XmlElement allowedUser = d.CreateElement("allowedUser");
    root.AppendChild(allowedUser);
    allowedUser.InnerXml = "alice";

    string input = Request.Form["in"];
    root.InnerXml = input;
}

Sub Page_Load(sender As Object, e As EventArgs)
    Dim d As XmlDocument = New XmlDocument()
    Dim root As XmlElement = d.CreateElement("root")
    d.AppendChild(root)

    Dim allowedUser As XmlElement = d.CreateElement("allowedUser")
    root.AppendChild(allowedUser)
    allowedUser.InnerXml = "alice"

    Dim input As String = Request.Form("in")
    root.InnerXml = input
End Sub

Se um invasor usar isso para entrada: , o documento XML será: some text<allowedUser>oscar</allowedUser>

<root>some text<allowedUser>oscar</allowedUser>
</root>

Solução

Para corrigir essa violação, defina a entrada para a InnerText propriedade do elemento raiz em vez da InnerXml propriedade.

protected void Page_Load(object sender, EventArgs e)
{
    XmlDocument d = new XmlDocument();
    XmlElement root = d.CreateElement("root");
    d.AppendChild(root);

    XmlElement allowedUser = d.CreateElement("allowedUser");
    root.AppendChild(allowedUser);
    allowedUser.InnerText = "alice";

    string input = Request.Form["in"];
    root.InnerText = input;
}

Sub Page_Load(sender As Object, e As EventArgs)
    Dim d As XmlDocument = New XmlDocument()
    Dim root As XmlElement = d.CreateElement("root")
    d.AppendChild(root)

    Dim allowedUser As XmlElement = d.CreateElement("allowedUser")
    root.AppendChild(allowedUser)
    allowedUser.InnerText = "alice"

    Dim input As String = Request.Form("in")
    root.InnerText = input
End Sub

Se um invasor usar isso para entrada: , o documento XML será: some text<allowedUser>oscar</allowedUser>

<root>some text&lt;allowedUser&gt;oscar&lt;/allowedUser&gt;
<allowedUser>alice</allowedUser>
</root>

Configurar código para análise

Use as opções a seguir para configurar em quais partes da base de código executar essa regra.

• Excluir símbolos específicos
• Excluir tipos específicos e seus tipos derivados

Você pode configurar essas opções apenas para esta regra, para todas as regras às quais ela se aplica ou para todas as regras nesta categoria (Segurança) às quais ela se aplica. Para obter mais informações, consulte Opções de configuração da regra de qualidade de código.

Excluir símbolos específicos

Você pode excluir símbolos específicos, como tipos e métodos, da análise. Por exemplo, para especificar que a regra não deve ser executada em nenhum código dentro de tipos nomeados MyType, adicione o seguinte par chave-valor a um arquivo .editorconfig em seu projeto:

dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType

Formatos de nome de símbolo permitidos no valor da opção (separados por |):

• Somente nome do símbolo (inclui todos os símbolos com o nome, independentemente do tipo ou namespace que o contém).
• Nomes totalmente qualificados no formato de ID de documentação do símbolo. Cada nome de símbolo requer um prefixo de tipo de símbolo, como M: para métodos, T: para tipos e N: para namespaces.
• .ctor para construtores e .cctor para construtores estáticos.

Exemplos:

Valor da opção	Resumo
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType	Corresponde a todos os símbolos denominados MyType.
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2	Corresponde a todos os símbolos denominados ou MyType1MyType2.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType)	Corresponde ao método MyMethod específico com a assinatura totalmente qualificada especificada.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType)	Corresponde a métodos MyMethod1 específicos e MyMethod2 com as respetivas assinaturas totalmente qualificadas.

Excluir tipos específicos e seus tipos derivados

Você pode excluir tipos específicos e seus tipos derivados da análise. Por exemplo, para especificar que a regra não deve ser executada em nenhum método dentro de tipos nomeados MyType e seus tipos derivados, adicione o seguinte par chave-valor a um arquivo .editorconfig em seu projeto:

dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType

Formatos de nome de símbolo permitidos no valor da opção (separados por |):

• Somente nome do tipo (inclui todos os tipos com o nome, independentemente do tipo ou namespace que o contém).
• Nomes totalmente qualificados no formato de ID de documentação do símbolo, com um prefixo opcionalT:.

Exemplos:

Valor da opção	Resumo
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType	Corresponde a todos os tipos nomeados MyType e todos os seus tipos derivados.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2	Corresponde a todos os tipos nomeados ou MyType1 e MyType2 todos os seus tipos derivados.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType	Corresponde a um tipo específico com um MyType determinado nome totalmente qualificado e todos os seus tipos derivados.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2	Corresponde a tipos específicos e com os respetivos nomes totalmente qualificados, e MyType2 todos os seus tipos MyType1 derivados.