CA2351: DataSet.ReadXml() girişinin güvenilir olduğundan emin olun
Özellik | Değer |
---|---|
Kural Kimliği | CA2351 |
Başlık | DataSet.ReadXml() girişinin güvenilir olduğundan emin olun |
Kategori | Güvenlik |
Hataya neden olan veya bozulmayan düzeltme | Hataya neden olmayan |
.NET 9'da varsayılan olarak etkin | Hayır |
Neden
Yöntemi DataSet.ReadXml çağrıldı veya başvuruldu ve otomatik oluşturulan kod içinde değil.
Bu kural otomatik olarak oluşturulan b kodunu sınıflandırır:
- adlı
ReadXmlSerializable
bir yöntemin içinde olmak. ReadXmlSerializable
yönteminde bir System.Diagnostics.DebuggerNonUserCodeAttributevardır.ReadXmlSerializable
yöntemi, içeren bir tür System.ComponentModel.DesignerCategoryAttributeiçindedir.
CA2361 , otomatik oluşturulan kod içinde göründüğünde DataSet.ReadXml için benzer bir kuraldır.
Kural açıklaması
Bir saldırgan, güvenilmeyen girişle seri durumdan çıkarırken DataSet hizmet reddi saldırısı gerçekleştirmek için kötü amaçlı girişler oluşturabilir. Bilinmeyen uzaktan kod yürütme güvenlik açıkları olabilir.
Daha fazla bilgi için bkz . DataSet ve DataTable güvenlik kılavuzu.
İhlalleri düzeltme
- Mümkünse, yerine Entity Framework DataSetkullanın.
- Serileştirilmiş verilerin kurcalanmaya karşı dayanıklı olmasını sağlayın. Serileştirmeden sonra, serileştirilmiş verileri şifreli olarak imzalayın. Seri durumdan çıkarmadan önce şifreleme imzasını doğrulayın. Şifreleme anahtarının açıklanmasını önleyip anahtar döndürmeleri için tasarım yapma.
Uyarıların ne zaman bastırılması gerekiyor?
Aşağıdakiler durumunda bu kuraldan gelen bir uyarıyı engellemek güvenlidir:
- Girişin güvenilir olduğunu biliyorsunuz. Uygulamanızın güven sınırının ve veri akışlarının zaman içinde değişebileceğini göz önünde bulundurun.
- İhlalleri düzeltme bölümünde yer alan önlemlerden birini aldıysanız.
Uyarıyı gizleme
Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.
#pragma warning disable CA2351
// The code that's violating the rule is on this line.
#pragma warning restore CA2351
Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini none
olarak ayarlayın.
[*.{cs,vb}]
dotnet_diagnostic.CA2351.severity = none
Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.
Sahte kod örnekleri
Ihlal
using System.Data;
public class ExampleClass
{
public DataSet MyDeserialize(string untrustedXml)
{
DataSet dt = new DataSet();
dt.ReadXml(untrustedXml);
}
}
İlgili kurallar
CA2350: DataTable.ReadXml() girişinin güvenilir olduğundan emin olun
CA2353: Seri hale getirilebilir türde güvenli olmayan DataSet veya DataTable
CA2355: Seri durumdan çıkarılmış nesne grafında güvenli olmayan DataSet veya DataTable
CA2356: Web seri durumdan çıkarılmış nesne grafında güvenli olmayan DataSet veya DataTable