CA3003: Granska koden för sårbarheter för filsökvägsinmatning
| Property | Värde |
|---|---|
| Regel-ID | CA3003 |
| Title | Granska koden för sårbarheter för filsökvägsinmatning |
| Kategori | Säkerhet |
| Korrigeringen är icke-bakåtkompatibel | Icke-icke-bryta |
| Aktiverad som standard i .NET 8 | Nej |
Orsak
Potentiellt ej betrodda HTTP-begärandeindata når sökvägen till en filåtgärd.
Som standard analyserar den här regeln hela kodbasen, men detta kan konfigureras.
Regelbeskrivning
När du arbetar med ej betrodda indata från webbbegäranden bör du tänka på att använda användarkontrollerade indata när du anger sökvägar till filer. En angripare kanske kan läsa en oavsiktlig fil, vilket resulterar i att känslig information avslöjas. Eller så kanske en angripare kan skriva till en oavsiktlig fil, vilket resulterar i obehörig ändring av känsliga data eller äventyrar serverns säkerhet. En vanlig metod för angripare är Path Traversal för att komma åt filer utanför den avsedda katalogen.
Den här regeln försöker hitta indata från HTTP-begäranden som når en sökväg i en filåtgärd.
Kommentar
Den här regeln kan inte spåra data mellan sammansättningar. Om en sammansättning till exempel läser indata för HTTP-begäran och sedan skickar den till en annan sammansättning som skriver till en fil, ger den här regeln ingen varning.
Kommentar
Det finns en konfigurerbar gräns för hur djupt den här regeln ska analysera dataflödet mellan metodanrop. Se Analyserarkonfiguration för hur du konfigurerar gränsen i en EditorConfig-fil.
Så här åtgärdar du överträdelser
- Om möjligt begränsar du filsökvägar baserat på användarindata till en explicit känd säker lista. Om ditt program till exempel bara behöver komma åt "red.txt", "green.txt" eller "blue.txt" tillåter du bara dessa värden.
- Sök efter ej betrodda filnamn och kontrollera att namnet är välformaterat.
- Använd fullständiga sökvägsnamn när du anger sökvägar.
- Undvik potentiellt farliga konstruktioner, till exempel sökvägsmiljövariabler.
- Acceptera endast långa filnamn och verifiera långt namn om användaren skickar korta namn.
- Begränsa slutanvändares indata till giltiga tecken.
- Avvisa namn där MAX_PATH längd överskrids.
- Hantera filnamn bokstavligen, utan tolkning.
- Kontrollera om filnamnet representerar en fil eller en enhet.
När du ska ignorera varningar
Om du har verifierat indata enligt beskrivningen i föregående avsnitt är det okej att ignorera den här varningen.
Konfigurera kod för analys
Använd följande alternativ för att konfigurera vilka delar av kodbasen som regeln ska köras på.
Du kan konfigurera dessa alternativ för bara den här regeln, för alla regler som den gäller för eller för alla regler i den här kategorin (säkerhet) som den gäller för. Mer information finns i Konfigurationsalternativ för kodkvalitetsregel.
Exkludera specifika symboler
Du kan exkludera specifika symboler, till exempel typer och metoder, från analys. Om du till exempel vill ange att regeln inte ska köras på någon kod inom typer med namnet MyTypelägger du till följande nyckel/värde-par i en .editorconfig-fil i projektet:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
Tillåtna symbolnamnformat i alternativvärdet (avgränsade med |):
- Endast symbolnamn (innehåller alla symboler med namnet, oavsett vilken typ eller namnrymd som innehåller).
- Fullständigt kvalificerade namn i symbolens dokumentations-ID-format. Varje symbolnamn kräver ett symboltypprefix, till exempel
M:för metoder,T:för typer ochN:för namnområden. .ctorför konstruktorer och.cctorstatiska konstruktorer.
Exempel:
| Alternativvärde | Sammanfattning |
|---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
Matchar alla symboler med namnet MyType. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
Matchar alla symboler med namnet antingen MyType1 eller MyType2. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
Matchar en specifik metod MyMethod med den angivna fullständigt kvalificerade signaturen. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
Matchar specifika metoder MyMethod1 och MyMethod2 med respektive fullständigt kvalificerade signaturer. |
Exkludera specifika typer och deras härledda typer
Du kan exkludera specifika typer och deras härledda typer från analys. Om du till exempel vill ange att regeln inte ska köras på några metoder inom typer som heter MyType och deras härledda typer lägger du till följande nyckel/värde-par i en .editorconfig-fil i projektet:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
Tillåtna symbolnamnformat i alternativvärdet (avgränsade med |):
- Skriv endast namn (innehåller alla typer med namnet, oavsett vilken typ eller namnrymd som innehåller).
- Fullständigt kvalificerade namn i symbolens dokumentations-ID-format, med ett valfritt
T:prefix.
Exempel:
| Alternativvärde | Sammanfattning |
|---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
Matchar alla typer med namnet MyType och alla deras härledda typer. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
Matchar alla typer med namnet antingen MyType1 eller MyType2 och alla deras härledda typer. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
Matchar en specifik typ MyType med ett angivet fullständigt kvalificerat namn och alla dess härledda typer. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
Matchar specifika typer MyType1 och MyType2 med respektive fullständigt kvalificerade namn och alla deras härledda typer. |
Exempel på pseudokod
Kränkning
using System;
using System.IO;
public partial class WebForm : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string userInput = Request.Params["UserInput"];
// Assume the following directory structure:
// wwwroot\currentWebDirectory\user1.txt
// wwwroot\currentWebDirectory\user2.txt
// wwwroot\secret\allsecrets.txt
// There is nothing wrong if the user inputs:
// user1.txt
// However, if the user input is:
// ..\secret\allsecrets.txt
// Then an attacker can now see all the secrets.
// Avoid this:
using (File.Open(userInput, FileMode.Open))
{
// Read a file with the name supplied by user
// Input through request's query string and display
// The content to the webpage.
}
}
}
Imports System
Imports System.IO
Partial Public Class WebForm
Inherits System.Web.UI.Page
Protected Sub Page_Load(sender As Object, e As EventArgs)
Dim userInput As String = Me.Request.Params("UserInput")
' Assume the following directory structure:
' wwwroot\currentWebDirectory\user1.txt
' wwwroot\currentWebDirectory\user2.txt
' wwwroot\secret\allsecrets.txt
' There is nothing wrong if the user inputs:
' user1.txt
' However, if the user input is:
' ..\secret\allsecrets.txt
' Then an attacker can now see all the secrets.
' Avoid this:
Using File.Open(userInput, FileMode.Open)
' Read a file with the name supplied by user
' Input through request's query string and display
' The content to the webpage.
End Using
End Sub
End Class
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för