CA2361: DataSet.ReadXml() içeren otomatik oluşturulan sınıfın güvenilmeyen verilerle kullanılmadığından emin olun

Makale
09/07/2023

Özellik	Değer
Kural Kimliği	CA2361
Başlık	DataSet.ReadXml() içeren bir otomatik oluşturulmuş sınıfın güvenilmeyen verilerle kullanılmadığından emin olun
Kategori	Güvenlik
Hataya neden olan veya bozulmayan düzeltme	Hataya neden olmayan
.NET 8'de varsayılan olarak etkin	Hayır

Neden

DataSet.ReadXml yöntemi çağrıldı veya başvuruldu ve otomatik olarak oluşturulan kod içinde.

Bu kural otomatik olarak oluşturulan b kodunu sınıflandırır:

adlı ReadXmlSerializablebir yöntemin içinde olmak.
ReadXmlSerializable yönteminde bir System.Diagnostics.DebuggerNonUserCodeAttributevardır.
ReadXmlSerializable yöntemi, içeren bir tür System.ComponentModel.DesignerCategoryAttributeiçindedir.

CA2351 , otomatik oluşturulamayan kod içinde göründüğünde DataSet.ReadXml için benzer bir kuraldır.

Kural açıklaması

Bir saldırgan, güvenilmeyen girişle seri durumdan çıkarırken DataSet hizmet reddi saldırısı gerçekleştirmek için kötü amaçlı girişler oluşturabilir. Bilinmeyen uzaktan kod yürütme güvenlik açıkları olabilir.

Bu kural CA2351 gibidir, ancak bir GUI uygulaması içindeki verilerin bellek içi gösterimi için otomatik olarak oluşturulan kod için kullanılır. Genellikle, bu otomatik oluşturulan sınıflar güvenilmeyen girişten seri durumdan çıkarılmaz. Uygulamanızın kullanımı farklılık gösterebilir.

Daha fazla bilgi için bkz . DataSet ve DataTable güvenlik kılavuzu.

İhlalleri düzeltme

Mümkünse, yerine Entity Framework DataSetkullanın.
Serileştirilmiş verilerin kurcalanmaya karşı dayanıklı olmasını sağlayın. Serileştirmeden sonra, serileştirilmiş verileri şifreli olarak imzalayın. Seri durumdan çıkarmadan önce şifreleme imzasını doğrulayın. Şifreleme anahtarının açıklanmasını önleyip anahtar döndürmeleri için tasarım yapma.

Uyarıların ne zaman bastırılması gerekiyor?

Aşağıdakiler durumunda bu kuraldan gelen bir uyarıyı engellemek güvenlidir:

Girişin güvenilir olduğunu biliyorsunuz. Uygulamanızın güven sınırının ve veri akışlarının zaman içinde değişebileceğini göz önünde bulundurun.
İhlalleri düzeltme bölümünde yer alan önlemlerden birini aldıysanız.

Uyarıyı gizleme

Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.

#pragma warning disable CA2361
// The code that's violating the rule is on this line.
#pragma warning restore CA2361

Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini noneolarak ayarlayın.

[*.{cs,vb}]
dotnet_diagnostic.CA2361.severity = none

Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.

Sahte kod örnekleri

Ihlal

namespace ExampleNamespace
{
    /// <summary>
    ///Represents a strongly typed in-memory cache of data.
    ///</summary>
    [global::System.Serializable()]
    [global::System.ComponentModel.DesignerCategoryAttribute("code")]
    [global::System.ComponentModel.ToolboxItem(true)]
    [global::System.Xml.Serialization.XmlSchemaProviderAttribute("GetTypedDataSetSchema")]
    [global::System.Xml.Serialization.XmlRootAttribute("Package")]
    [global::System.ComponentModel.Design.HelpKeywordAttribute("vs.data.DataSet")]
    public partial class Something : global::System.Data.DataSet {

        [global::System.Diagnostics.DebuggerNonUserCodeAttribute()]
        [global::System.CodeDom.Compiler.GeneratedCodeAttribute("System.Data.Design.TypedDataSetGenerator", "4.0.0.0")]
        protected override void ReadXmlSerializable(global::System.Xml.XmlReader reader) {
            if ((this.DetermineSchemaSerializationMode(reader) == global::System.Data.SchemaSerializationMode.IncludeSchema)) {
                this.Reset();
                global::System.Data.DataSet ds = new global::System.Data.DataSet();
                ds.ReadXml(reader);
                if ((ds.Tables["Something"] != null)) {
                    base.Tables.Add(new SomethingTable(ds.Tables["Something"]));
                }
                this.DataSetName = ds.DataSetName;
                this.Prefix = ds.Prefix;
                this.Namespace = ds.Namespace;
                this.Locale = ds.Locale;
                this.CaseSensitive = ds.CaseSensitive;
                this.EnforceConstraints = ds.EnforceConstraints;
                this.Merge(ds, false, global::System.Data.MissingSchemaAction.Add);
                this.InitVars();
            }
            else {
                this.ReadXml(reader);
                this.InitVars();
            }
        }
    }
}

CA2350: DataTable.ReadXml() girişinin güvenilir olduğundan emin olun

CA2351: DataSet.ReadXml() girişinin güvenilir olduğundan emin olun

CA2352: Seri hale getirilebilir türde güvenli olmayan DataSet veya DataTable, uzaktan kod yürütme saldırılarına karşı savunmasız olabilir

CA2353: Seri hale getirilebilir türde güvenli olmayan DataSet veya DataTable

CA2354: Seri durumdan çıkarılmış nesne grafında güvenli olmayan DataSet veya DataTable, uzaktan kod yürütme saldırısına karşı savunmasız olabilir

CA2355: Seri durumdan çıkarılmış nesne grafında güvenli olmayan DataSet veya DataTable

CA2356: Web seri durumdan çıkarılmış nesne grafında güvenli olmayan DataSet veya DataTable

CA2362: Otomatik olarak oluşturulan serileştirilebilir türdeki güvenli olmayan DataSet veya DataTable, uzaktan kod yürütme saldırılarına karşı savunmasız olabilir