CA3004: Granska koden för sårbarheter för informationsutlämnande
| Property | Värde |
|---|---|
| Regel-ID | CA3004 |
| Title | Granska koden för sårbarheter vid avslöjande av information |
| Kategori | Säkerhet |
| Korrigeringen är icke-bakåtkompatibel | Icke-icke-bryta |
| Aktiverad som standard i .NET 8 | Nej |
Orsak
Ett undantagsmeddelande, stackspårning eller strängrepresentation når webbutdata.
Som standard analyserar den här regeln hela kodbasen, men detta kan konfigureras.
Regelbeskrivning
Att avslöja undantagsinformation ger angripare insikt i det interna i ditt program, vilket kan hjälpa angripare att hitta andra sårbarheter att utnyttja.
Den här regeln försöker hitta ett undantagsmeddelande, stackspårning eller strängrepresentation som matas ut till ett HTTP-svar.
Kommentar
Den här regeln kan inte spåra data mellan sammansättningar. Om en sammansättning till exempel fångar upp ett undantag och sedan skickar det till en annan sammansättning som matar ut undantaget, kommer den här regeln inte att generera någon varning.
Kommentar
Det finns en konfigurerbar gräns för hur djupt den här regeln ska analysera dataflödet mellan metodanrop. Information om hur du konfigurerar gränsen i en EditorConfig-fil finns i Analysera konfiguration.
Så här åtgärdar du överträdelser
Skicka inte undantagsinformation till HTTP-svar. Ange i stället ett allmänt felmeddelande. Mer information finns på sidan felaktig felhantering i OWASP.
När du ska ignorera varningar
Om du vet att dina webbutdata ligger inom programmets förtroendegräns och aldrig exponeras utanför, är det okej att ignorera den här varningen. Det här är ovanligt. Tänk på att programmets förtroendegräns och dataflöden kan ändras över tid.
Ignorera en varning
Om du bara vill förhindra en enda överträdelse lägger du till förprocessordirektiv i källfilen för att inaktivera och aktiverar sedan regeln igen.
#pragma warning disable CA3004
// The code that's violating the rule is on this line.
#pragma warning restore CA3004
Om du vill inaktivera regeln för en fil, mapp eller ett projekt anger du dess allvarlighetsgrad till none i konfigurationsfilen.
[*.{cs,vb}]
dotnet_diagnostic.CA3004.severity = none
Mer information finns i Så här utelämnar du kodanalysvarningar.
Konfigurera kod för analys
Använd följande alternativ för att konfigurera vilka delar av kodbasen som regeln ska köras på.
Du kan konfigurera dessa alternativ för bara den här regeln, för alla regler som den gäller för eller för alla regler i den här kategorin (säkerhet) som den gäller för. Mer information finns i Konfigurationsalternativ för kodkvalitetsregel.
Exkludera specifika symboler
Du kan exkludera specifika symboler, till exempel typer och metoder, från analys. Om du till exempel vill ange att regeln inte ska köras på någon kod inom typer med namnet MyTypelägger du till följande nyckel/värde-par i en .editorconfig-fil i projektet:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
Tillåtna symbolnamnformat i alternativvärdet (avgränsade med |):
- Endast symbolnamn (innehåller alla symboler med namnet, oavsett vilken typ eller namnrymd som innehåller).
- Fullständigt kvalificerade namn i symbolens dokumentations-ID-format. Varje symbolnamn kräver ett symboltypprefix, till exempel
M:för metoder,T:för typer ochN:för namnområden. .ctorför konstruktorer och.cctorstatiska konstruktorer.
Exempel:
| Alternativvärde | Sammanfattning |
|---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
Matchar alla symboler med namnet MyType. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
Matchar alla symboler med namnet antingen MyType1 eller MyType2. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
Matchar en specifik metod MyMethod med den angivna fullständigt kvalificerade signaturen. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
Matchar specifika metoder MyMethod1 och MyMethod2 med respektive fullständigt kvalificerade signaturer. |
Exkludera specifika typer och deras härledda typer
Du kan exkludera specifika typer och deras härledda typer från analys. Om du till exempel vill ange att regeln inte ska köras på några metoder inom typer som heter MyType och deras härledda typer lägger du till följande nyckel/värde-par i en .editorconfig-fil i projektet:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
Tillåtna symbolnamnformat i alternativvärdet (avgränsade med |):
- Skriv endast namn (innehåller alla typer med namnet, oavsett vilken typ eller namnrymd som innehåller).
- Fullständigt kvalificerade namn i symbolens dokumentations-ID-format, med ett valfritt
T:prefix.
Exempel:
| Alternativvärde | Sammanfattning |
|---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
Matchar alla typer med namnet MyType och alla deras härledda typer. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
Matchar alla typer med namnet antingen MyType1 eller MyType2 och alla deras härledda typer. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
Matchar en specifik typ MyType med ett angivet fullständigt kvalificerat namn och alla dess härledda typer. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
Matchar specifika typer MyType1 och MyType2 med respektive fullständigt kvalificerade namn och alla deras härledda typer. |
Exempel på pseudokod
Kränkning
using System;
public partial class WebForm : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs eventArgs)
{
try
{
object o = null;
o.ToString();
}
catch (Exception e)
{
this.Response.Write(e.ToString());
}
}
}
Imports System
Partial Public Class WebForm
Inherits System.Web.UI.Page
Protected Sub Page_Load(sender As Object, eventArgs As EventArgs)
Try
Dim o As Object = Nothing
o.ToString()
Catch e As Exception
Me.Response.Write(e.ToString())
End Try
End Sub
End Class
Lösning
using System;
public partial class WebForm : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs eventArgs)
{
try
{
object o = null;
o.ToString();
}
catch (Exception e)
{
this.Response.Write("An error occurred. Please try again later.");
}
}
}
Imports System
Partial Public Class WebForm
Inherits System.Web.UI.Page
Protected Sub Page_Load(sender As Object, eventArgs As EventArgs)
Try
Dim o As Object = Nothing
o.ToString()
Catch e As Exception
Me.Response.Write("An error occurred. Please try again later.")
End Try
End Sub
End Class
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för