Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
| Özellik | Değer |
|---|---|
| Kural Kimliği | CA2362 |
| Başlık | Otomatik oluşturulmuş, seri hale getirilebilir türdeki güvenli olmayan DataSet veya DataTable, uzaktan kod yürütme saldırılarına karşı savunmasız olabilir |
| Kategori | Güvenlik |
| Düzeltme bozucu ya da bozmayan olabilir | Kesintisiz |
| .NET 10'da varsayılan olarak etkin | Hayır |
| Geçerli diller | C# ve Visual Basic |
Neden
ile SerializableAttribute işaretlenen bir sınıf veya yapı, bir DataSet veya DataTable alanı veya özelliği içerir ve bir DesignerCategoryAttributeöğesine sahiptir.
CA2352, DesignerCategoryAttribute olmadığı durumlar için benzer bir kuraldır.
Kural açıklaması
Güvenilmeyen bir girdi BinaryFormatter ile seri durumdan çıkarılırken ve seri durumdan çıkarılmış nesne grafiği DataSet veya DataTable içerdiğinde, bir saldırgan uzaktan kod yürütme saldırısı gerçekleştirmek için kötü amaçlı bir yük oluşturabilir.
Bu kural CA2352 gibidir, ancak gui uygulaması içindeki verilerin bellek içi gösterimi için otomatik oluşturulan kod için kullanılır. Genellikle, bu otomatik üretilen sınıflar, güvenilmeyen girişten seri hale getirilmez. Uygulamanızın kullanımı farklılık gösterebilir.
Bu kural, serileştirilmediğinde güvenli olmayan türleri bulur. Kodunuz bulunan türleri seri durumdan çıkarmıyorsa seri durumdan çıkarma güvenlik açığınız yoktur.
Daha fazla bilgi için bkz . DataSet ve DataTable güvenlik kılavuzu.
İhlalleri düzeltme
- Mümkünse Entity Framework kullanın ve DataSet ve DataTable yerine.
- Serileştirilmiş verilerin kurcalanmaya karşı dayanıklı olmasını sağlayın. Serileştirmeden sonra, serileştirilmiş verileri şifreli olarak imzalayın. Seri durumdan çıkarmadan önce kriptografik imzayı doğrulayın. Şifreleme anahtarının açıklanmasını önleyip anahtar döndürmeleri için tasarım yapma.
Uyarıların ne zaman bastırılması gerekiyor?
Aşağıdakiler durumunda bu kuraldan gelen bir uyarıyı engellemek güvenlidir:
- Bu kural tarafından bulunan tür hiçbir zaman doğrudan veya dolaylı olarak seri durumdan çıkarılmaz.
- Girişin güvenilir olduğunu biliyorsunuz. Uygulamanızın güven sınırının ve veri akışlarının zaman içinde değişebileceğini göz önünde bulundurun.
- İhlalleri nasıl düzelteceğiniz konusunda önlemlerden birini aldınız.
Uyarıyı gizleme
Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.
#pragma warning disable CA2362
// The code that's violating the rule is on this line.
#pragma warning restore CA2362
Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini noneolarak ayarlayın.
[*.{cs,vb}]
dotnet_diagnostic.CA2362.severity = none
Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.
Sahte kod örnekleri
Ihlal
using System.Data;
using System.Xml.Serialization;
namespace ExampleNamespace
{
[global::System.CodeDom.Compiler.GeneratedCode(""System.Data.Design.TypedDataSetGenerator"", ""2.0.0.0"")]
[global::System.Serializable()]
[global::System.ComponentModel.DesignerCategoryAttribute(""code"")]
[global::System.ComponentModel.ToolboxItem(true)]
[global::System.Xml.Serialization.XmlSchemaProviderAttribute(""GetTypedDataSetSchema"")]
[global::System.Xml.Serialization.XmlRootAttribute(""Package"")]
[global::System.ComponentModel.Design.HelpKeywordAttribute(""vs.data.DataSet"")]
public class ExampleClass : global::System.Data.DataSet {
private DataTable table;
}
}
İlgili kurallar
CA2350: DataTable.ReadXml() girişinin güvenilir olduğundan emin olun
CA2351: DataSet.ReadXml() girişinin güvenilir olduğundan emin olun
CA2353: Seri hale getirilebilir türde güvenli olmayan DataSet veya DataTable
CA2355: Deserilize edilmiş nesne grafiğinde güvenli olmayan DataSet veya DataTable
CA2356: Web seri durumdan çıkarılmış nesne grafında güvenli olmayan DataSet veya DataTable
GitHub'da bizimle işbirliği yapın
Bu içeriğin kaynağı GitHub'da bulunabilir; burada ayrıca sorunları ve çekme isteklerini oluşturup gözden geçirebilirsiniz. Daha fazla bilgi için katkıda bulunan kılavuzumuzu inceleyin.
