Megosztás a következőn keresztül:


CA2355: Nem biztonságos adathalmaz vagy DataTable deszerializált objektumgráfban

Tulajdonság Érték
Szabályazonosító CA2355
Cím Nem biztonságos dataSet vagy DataTable deszerializált objektumgráfban
Kategória Biztonság
A javítás kompatibilitástörő vagy nem törik Nem törés
Alapértelmezés szerint engedélyezve a .NET 8-ban Nem

Ok

Deszerializálás, ha a leadott vagy a megadott típus objektumgráfja tartalmazhat egy DataSet vagy DataTable.

Ez a szabály más megközelítést alkalmaz egy hasonló szabályhoz, a CA2353-hoz: Nem biztonságos adathalmaz vagy DataTable szerializálható típusban.

A leadott vagy megadott típus kiértékelése a következő esetekben történik:

Szabály leírása

Ha a nem megbízható bemenetet deszerializálja, BinaryFormatter és a deszerializált objektumdiagram tartalmaz egy DataSet vagy DataTable, a támadó rosszindulatú hasznos adatokat hozhat létre szolgáltatásmegtagadási támadás végrehajtásához. Előfordulhat, hogy ismeretlen távoli kódvégrehajtási biztonsági rések vannak.

További információ: DataSet és DataTable biztonsági útmutató.

Szabálysértések kijavítása

  • Ha lehetséges, használja az Entity Frameworkt ahelyett, hogy DataSet a .DataTable
  • Végezze el a szerializált adatok illetéktelen illetéktelen beavatkozását. A szerializálás után kriptográfiailag írja alá a szerializált adatokat. A deszerializálás előtt ellenőrizze a titkosítási aláírást. Védje meg a titkosítási kulcsot a nyilvánosságra hozataltól, és tervezzen kulcsforgatást.

Mikor kell letiltani a figyelmeztetéseket?

A szabály figyelmeztetését nyugodtan letilthatja, ha:

  • Tudja, hogy a bemenet megbízható. Vegye figyelembe, hogy az alkalmazás megbízhatósági határa és az adatfolyamok idővel változhatnak.
  • Megtette a szabálysértések elhárításának egyik óvintézkedését.

Figyelmeztetés mellőzése

Ha csak egyetlen szabálysértést szeretne letiltani, adjon hozzá előfeldolgozási irányelveket a forrásfájlhoz a szabály letiltásához és újbóli engedélyezéséhez.

#pragma warning disable CA2355
// The code that's violating the rule is on this line.
#pragma warning restore CA2355

Ha le szeretné tiltani egy fájl, mappa vagy projekt szabályát, állítsa annak súlyosságát none a konfigurációs fájlban.

[*.{cs,vb}]
dotnet_diagnostic.CA2355.severity = none

További információ: Kódelemzési figyelmeztetések letiltása.

Példák pszeudokódokra

Megsértése

using System.Data;
using System.IO;
using System.Runtime.Serialization;

[Serializable]
public class MyClass
{
    public MyOtherClass OtherClass { get; set; }
}

[Serializable]
public class MyOtherClass
{
    private DataSet myDataSet;
}

public class ExampleClass
{
    public MyClass Deserialize(Stream stream)
    {
        BinaryFormatter bf = new BinaryFormatter();
        return (MyClass) bf.Deserialize(stream);
    }
}

CA2350: Győződjön meg arról, hogy a DataTable.ReadXml() bemenete megbízható

CA2351: Győződjön meg arról, hogy a DataSet.ReadXml() bemenete megbízható

CA2352: A nem biztonságos adathalmaz vagy a szerializálható típusú DataTable sebezhető lehet a távoli kódvégrehajtási támadásokkal szemben

CA2353: Nem biztonságos dataSet vagy DataTable szerializálható típusban

CA2354: A nem biztonságos dataSet vagy DataTable deszerializált objektumdiagramon sebezhető lehet a távoli kódvégrehajtási támadásokkal szemben

CA2356: Nem biztonságos adathalmaz vagy adattábla a webes deszerializált objektumdiagramon

CA2361: Győződjön meg arról, hogy a DataSet.ReadXml() tulajdonságot tartalmazó automatikusan létrehozott osztály nem használható nem megbízható adatokkal

CA2362: A nem biztonságos adathalmaz vagy az automatikusan szerializálható típusú DataTable sebezhető lehet a távoli kódvégrehajtási támadásokkal szemben