CA2310: Güvenli olmayan seri durumdan çıkarıcı NetDataContractSerializer kullanmayın
| Özellik | Değer |
|---|---|
| Kural Kimliği | CA2310 |
| Başlık | Güvenli olmayan seri kaldırıcı NetDataContractSerializer kullanmayın |
| Kategori | Güvenlik |
| Hataya neden olan veya bozulmayan düzeltme | Hataya neden olmayan |
| .NET 8'de varsayılan olarak etkin | Hayır |
Neden
Seri System.Runtime.Serialization.NetDataContractSerializer durumdan çıkarma yöntemi çağrıldı veya başvuruldu.
Kural açıklaması
Güvenilmeyen verilerin seri durumdan çıkarılması sırasında güvenli olmayan seri durumdan çıkarıcılar savunmasızdır. Saldırgan, kötü amaçlı yan etkilere sahip nesneler eklemek için seri hale getirilmiş verileri beklenmeyen türler içerecek şekilde değiştirebilir. Güvenli olmayan bir seri durumdan çıkarıcıya yönelik bir saldırı, örneğin, temel işletim sisteminde komut yürütebilir, ağ üzerinden iletişim kurabilir veya dosyaları silebilir.
Bu kural seri durumdan çıkarma yöntemi çağrılarını veya başvurularını bulur System.Runtime.Serialization.NetDataContractSerializer . Yalnızca özellik türleri kısıtlamak üzere ayarlandığında seri durumdan Binder çıkarmak istiyorsanız, bu kuralı devre dışı bırakın ve bunun yerine CA2311 ve CA2312 kurallarını etkinleştirin. Hangi türlerin seri durumdan çıkarılabileceğini sınırlamak, bilinen uzaktan kod yürütme saldırılarına karşı azaltmaya yardımcı olabilir, ancak seri durumdan çıkarma işleminiz hizmet reddi saldırılarına karşı savunmasız olmaya devam eder.
NetDataContractSerializer güvenli değildir ve güvenli hale getirilemiyor. Daha fazla bilgi için bkz . BinaryFormatter güvenlik kılavuzu.
İhlalleri düzeltme
- Bunun yerine güvenli bir seri hale getirici kullanın ve bir saldırganın seri durumdan çıkarmak için rastgele bir tür belirtmesine izin verme. Daha fazla bilgi için bkz . Tercih edilen alternatifler.
- Serileştirilmiş verilerin kurcalanmaya karşı dayanıklı olmasını sağlayın. Serileştirmeden sonra, serileştirilmiş verileri şifreli olarak imzalayın. Seri durumdan çıkarmadan önce şifreleme imzasını doğrulayın. Şifreleme anahtarının açıklanmasını önleyip anahtar döndürmeleri için tasarım yapma.
- Bu seçenek, gelecekte kodu hizmet reddi saldırılarına ve olası uzaktan kod yürütme saldırılarına karşı savunmasız hale getirir. Daha fazla bilgi için bkz . BinaryFormatter güvenlik kılavuzu. Seri durumdan çıkarılmış türleri kısıtlayın. Özel System.Runtime.Serialization.SerializationBinderbir uygulayın. Seri durumdan
Binderçıkarmadan önce, özelliğini tüm kod yollarında özel SerializationBinder örneğinize ayarlayın. Geçersiz kılınan BindToType yönteminde, tür beklenmeyense seri durumdan çıkarma işlemini durdurmak için bir özel durum oluşturun.
Uyarıların ne zaman bastırılması gerekiyor?
NetDataContractSerializer güvenli değildir ve güvenli hale getirilemiyor.
Sahte kod örnekleri
Ihlal
using System.IO;
using System.Runtime.Serialization;
public class ExampleClass
{
public object MyDeserialize(byte[] bytes)
{
NetDataContractSerializer serializer = new NetDataContractSerializer();
return serializer.Deserialize(new MemoryStream(bytes));
}
}
Imports System.IO
Imports System.Runtime.Serialization
Public Class ExampleClass
Public Function MyDeserialize(bytes As Byte()) As Object
Dim serializer As NetDataContractSerializer = New NetDataContractSerializer()
Return serializer.Deserialize(New MemoryStream(bytes))
End Function
End Class
İlgili kurallar
CA2311: NetDataContractSerializer.Binder'ı ayarlamadan seri durumdan çıkarma
CA2312: Seri durumdan çıkarmadan önce NetDataContractSerializer.Binder'ın ayarlandığından emin olun
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin