CA2355: Seri durumdan çıkarılmış nesne grafında güvenli olmayan DataSet veya DataTable
| Özellik | Değer |
|---|---|
| Kural Kimliği | CA2355 |
| Başlık | Seri durumdan çıkarılmış nesne grafındaki güvenli olmayan DataSet veya DataTable |
| Kategori | Güvenlik |
| Hataya neden olan veya bozulmayan düzeltme | Hataya neden olmayan |
| .NET 8'de varsayılan olarak etkin | Hayır |
Neden
Yayınlanmış veya belirtilen türün nesne grafı veya DataSetDataTableiçerebilirken seri durumdan çıkarma.
Bu kural, ca2353 gibi benzer bir kurala farklı bir yaklaşım kullanır: Seri hale getirilebilir türde güvenli olmayan DataSet veya DataTable.
Oluşturulan veya belirtilen tür aşağıdaki durumlarda değerlendirilir:
- Nesneyi DataContractSerializer başlatma
- Nesneyi DataContractJsonSerializer başlatma
- Nesneyi XmlSerializer başlatma
- Çağırma JavaScriptSerializer.Deserialize
- Çağırma JavaScriptSerializer.DeserializeObject
- Çağırma XmlSerializer.FromTypes
- Newtonsoft Json.NET JsonSerializer.Deserialize'ı çağırma
- Newtonsoft Json.NET JsonConvert.DeserializeObject'i çağırma
Kural açıklaması
ile güvenilmeyen girişi BinaryFormatter seri durumdan çıkarırken ve seri durumdan çıkarılmış nesne grafı veya DataSetDataTableiçerdiğinde, bir saldırgan hizmet reddi saldırısı gerçekleştirmek için kötü amaçlı bir yük oluşturabilir. Bilinmeyen uzaktan kod yürütme güvenlik açıkları olabilir.
Daha fazla bilgi için bkz . DataSet ve DataTable güvenlik kılavuzu.
İhlalleri düzeltme
- Mümkünse ve DataTableyerine DataSet Entity Framework kullanın.
- Serileştirilmiş verilerin kurcalanmaya karşı dayanıklı olmasını sağlayın. Serileştirmeden sonra, serileştirilmiş verileri şifreli olarak imzalayın. Seri durumdan çıkarmadan önce şifreleme imzasını doğrulayın. Şifreleme anahtarının açıklanmasını önleyip anahtar döndürmeleri için tasarım yapma.
Uyarıların ne zaman bastırılması gerekiyor?
Aşağıdakiler durumunda bu kuraldan gelen bir uyarıyı engellemek güvenlidir:
- Girişin güvenilir olduğunu biliyorsunuz. Uygulamanızın güven sınırının ve veri akışlarının zaman içinde değişebileceğini göz önünde bulundurun.
- İhlalleri düzeltme bölümünde yer alan önlemlerden birini aldıysanız.
Uyarıyı gizleme
Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.
#pragma warning disable CA2355
// The code that's violating the rule is on this line.
#pragma warning restore CA2355
Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini noneolarak ayarlayın.
[*.{cs,vb}]
dotnet_diagnostic.CA2355.severity = none
Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.
Sahte kod örnekleri
Ihlal
using System.Data;
using System.IO;
using System.Runtime.Serialization;
[Serializable]
public class MyClass
{
public MyOtherClass OtherClass { get; set; }
}
[Serializable]
public class MyOtherClass
{
private DataSet myDataSet;
}
public class ExampleClass
{
public MyClass Deserialize(Stream stream)
{
BinaryFormatter bf = new BinaryFormatter();
return (MyClass) bf.Deserialize(stream);
}
}
İlgili kurallar
CA2350: DataTable.ReadXml() girişinin güvenilir olduğundan emin olun
CA2351: DataSet.ReadXml() girişinin güvenilir olduğundan emin olun
CA2353: Seri hale getirilebilir türde güvenli olmayan DataSet veya DataTable
CA2356: Web seri durumdan çıkarılmış nesne grafında güvenli olmayan DataSet veya DataTable
