CA5360: Ne nevezz veszélyes módszereket a deszerializálásban
| Tulajdonság | Érték |
|---|---|
| Szabályazonosító | CA5360 |
| Cím | Ne hívjon veszélyes módszereket a deszerializálásban |
| Kategória | Biztonság |
| A javítás kompatibilitástörő vagy nem törik | Nem törés |
| Alapértelmezés szerint engedélyezve a .NET 8-ban | Nem |
Ok
Az alábbi veszélyes módszerek egyikének meghívása a deszerializálásban:
- System.IO.Directory.Delete
- System.IO.DirectoryInfo.Delete
- System.IO.File.AppendAllLines
- System.IO.File.AppendAllText
- System.IO.File.AppendText
- System.IO.File.Copy
- System.IO.File.Delete
- System.IO.File.WriteAllBytes
- System.IO.File.WriteAllLines
- System.IO.File.WriteAllText
- System.IO.FileInfo.Delete
- System.IO.Log.LogStore.Delete
- System.Reflection.Assembly.GetLoadedModules
- System.Reflection.Assembly.Load
- System.Reflection.Assembly.LoadFrom
- System.Reflection.Assembly.LoadFile
- System.Reflection.Assembly.LoadModule
- System.Reflection.Assembly.LoadWithPartialName
- System.Reflection.Assembly.ReflectionOnlyLoad
- System.Reflection.Assembly.ReflectionOnlyLoadFrom
- System.Reflection.Assembly.UnsafeLoadFrom
Minden metódus megfelel a következő követelmények egyikének: a deszerializálás visszahívása:
- Megjelölve ezzel: System.Runtime.Serialization.OnDeserializingAttribute.
- Megjelölve ezzel: System.Runtime.Serialization.OnDeserializedAttribute.
- Implementálás System.Runtime.Serialization.IDeserializationCallback.OnDeserialization.
- Implementálás System.IDisposable.Dispose.
- Egy destruktor.
Szabály leírása
A nem biztonságos deszerializálás olyan biztonsági rés, amely akkor fordul elő, ha nem megbízható adatokat használnak egy alkalmazás logikájának visszaélésére, szolgáltatásmegtagadási (DoS-) támadás végrehajtására, vagy akár tetszőleges kód végrehajtására a deszerializáláskor. Gyakran előfordulhat, hogy rosszindulatú felhasználók visszaélnek ezekkel a deszerializálási funkciókkal, ha az alkalmazás az irányításuk alá tartozó nem megbízható adatokat deszerializálja. A deszerializálás folyamatában különösen veszélyes módszereket hívhat meg. A sikeres nem biztonságos deszerializálási támadások lehetővé tehetik, hogy a támadók olyan támadásokat hajtsanak végre, mint a DoS-támadások, a hitelesítési megkerülések és a távoli kódfuttatás.
Szabálysértések kijavítása
Távolítsa el ezeket a veszélyes módszereket a deszerializálási visszahívások automatikus futtatásából. Csak a bemenet ellenőrzése után hívja meg a veszélyes metódusokat.
Mikor kell letiltani a figyelmeztetéseket?
A szabályt nyugodtan letilthatja, ha:
- Tudja, hogy a bemenet megbízható. Vegye figyelembe, hogy az alkalmazás megbízhatósági határa és az adatfolyamok idővel változhatnak.
- A szerializált adatok illetéktelenek. A szerializálás után kriptográfiailag írja alá a szerializált adatokat. A deszerializálás előtt ellenőrizze a titkosítási aláírást. Védje meg a titkosítási kulcsot a nyilvánosságra hozataltól, és tervezzen kulcsforgatást.
- Az adatok az alkalmazás számára biztonságosként lesznek érvényesítve.
Figyelmeztetés mellőzése
Ha csak egyetlen szabálysértést szeretne letiltani, adjon hozzá előfeldolgozási irányelveket a forrásfájlhoz a szabály letiltásához és újbóli engedélyezéséhez.
#pragma warning disable CA5360
// The code that's violating the rule is on this line.
#pragma warning restore CA5360
Ha le szeretné tiltani egy fájl, mappa vagy projekt szabályát, állítsa annak súlyosságát none a konfigurációs fájlban.
[*.{cs,vb}]
dotnet_diagnostic.CA5360.severity = none
További információ: Kódelemzési figyelmeztetések letiltása.
Példák pszeudokódokra
Megsértése
using System;
using System.IO;
using System.Runtime.Serialization;
[Serializable()]
public class ExampleClass : IDeserializationCallback
{
private string member;
void IDeserializationCallback.OnDeserialization(Object sender)
{
var sourceFileName = "malicious file";
var destFileName = "sensitive file";
File.Copy(sourceFileName, destFileName);
}
}
Megoldás
using System;
using System.IO;
using System.Runtime.Serialization;
[Serializable()]
public class ExampleClass : IDeserializationCallback
{
private string member;
void IDeserializationCallback.OnDeserialization(Object sender)
{
var sourceFileName = "malicious file";
var destFileName = "sensitive file";
// Remove the potential dangerous operation.
// File.Copy(sourceFileName, destFileName);
}
}
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: