Aracılığıyla paylaş


CA2354: Seri durumdan çıkarılmış nesne grafında güvenli olmayan DataSet veya DataTable, uzaktan kod yürütme saldırısına karşı savunmasız olabilir

Özellik Değer
Kural Kimliği CA2354
Başlık Seri durumdan çıkarılmış nesne grafındaki güvenli olmayan DataSet veya DataTable, uzaktan yapılan kod yürütme saldırılarına karşı savunmasız olabilir
Kategori Güvenlik
Hataya neden olan veya bozulmayan düzeltme Hataya neden olmayan
.NET 9'da varsayılan olarak etkin Hayır

Neden

Serileştirilmiş bir System.Runtime.Serialization.IFormatter serileştirilmiş ile seri durumdan çıkarma ve türün nesne grafı veya DataSet DataTableiçerebilir.

Bu kural benzer bir kural için farklı bir yaklaşım kullanır, CA2352: Serileştirilebilir türde güvenli olmayan DataSet veya DataTable, uzaktan kod yürütme saldırılarına karşı savunmasız olabilir.

Kural açıklaması

ile güvenilmeyen girişi BinaryFormatter seri durumdan çıkarırken ve seri durumdan çıkarılmış nesne grafı veya DataSet DataTableiçerdiğinde, saldırgan uzaktan kod yürütme saldırısı gerçekleştirmek için kötü amaçlı bir yük oluşturabilir.

Daha fazla bilgi için bkz . DataSet ve DataTable güvenlik kılavuzu.

İhlalleri düzeltme

  • Mümkünse ve DataTableyerine DataSet Entity Framework kullanın.
  • Serileştirilmiş verilerin kurcalanmaya karşı dayanıklı olmasını sağlayın. Serileştirmeden sonra, serileştirilmiş verileri şifreli olarak imzalayın. Seri durumdan çıkarmadan önce şifreleme imzasını doğrulayın. Şifreleme anahtarının açıklanmasını önleyip anahtar döndürmeleri için tasarım yapma.

Uyarıların ne zaman bastırılması gerekiyor?

Aşağıdakiler durumunda bu kuraldan gelen bir uyarıyı engellemek güvenlidir:

  • Girişin güvenilir olduğunu biliyorsunuz. Uygulamanızın güven sınırının ve veri akışlarının zaman içinde değişebileceğini göz önünde bulundurun.
  • İhlalleri düzeltme bölümünde yer alan önlemlerden birini aldıysanız.

Uyarıyı gizleme

Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.

#pragma warning disable CA2354
// The code that's violating the rule is on this line.
#pragma warning restore CA2354

Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini none olarak ayarlayın.

[*.{cs,vb}]
dotnet_diagnostic.CA2354.severity = none

Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.

Sahte kod örnekleri

Ihlal

using System.Data;
using System.IO;
using System.Runtime.Serialization;

[Serializable]
public class MyClass
{
    public MyOtherClass OtherClass { get; set; }
}

[Serializable]
public class MyOtherClass
{
    private DataSet myDataSet;
}

public class ExampleClass
{
    public MyClass Deserialize(Stream stream)
    {
        BinaryFormatter bf = new BinaryFormatter();
        return (MyClass) bf.Deserialize(stream);
    }
}

CA2350: DataTable.ReadXml() girişinin güvenilir olduğundan emin olun

CA2351: DataSet.ReadXml() girişinin güvenilir olduğundan emin olun

CA2352: Seri hale getirilebilir türde güvenli olmayan DataSet veya DataTable, uzaktan kod yürütme saldırılarına karşı savunmasız olabilir

CA2353: Seri hale getirilebilir türde güvenli olmayan DataSet veya DataTable

CA2355: Seri durumdan çıkarılmış nesne grafında güvenli olmayan DataSet veya DataTable

CA2356: Web seri durumdan çıkarılmış nesne grafında güvenli olmayan DataSet veya DataTable

CA2361: DataSet.ReadXml() içeren otomatik oluşturulan sınıfın güvenilmeyen verilerle kullanılmadığından emin olun

CA2362: Otomatik olarak oluşturulan serileştirilebilir türdeki güvenli olmayan DataSet veya DataTable, uzaktan kod yürütme saldırılarına karşı savunmasız olabilir