CA2305: 안전하지 않은 역직렬 변환기 LosFormatter를 사용하지 마세요.
| 속성 | 값 |
|---|---|
| 규칙 ID | CA2305 |
| 타이틀 | 안전하지 않은 역직렬 변환기 LosFormatter를 사용하지 마세요. |
| 범주 | 보안 |
| 수정 사항이 주요 변경인지 여부 | 주요 변경 아님 |
| .NET 8에서 기본적으로 사용 | 아니요 |
원인
System.Web.UI.LosFormatter deserialization 메서드를 호출했거나 참조했습니다.
규칙 설명
안전하지 않은 역직렬 변환기는 신뢰할 수 없는 데이터를 역직렬화할 때 취약합니다. 공격자는 예기치 않은 형식을 포함하도록 직렬화된 데이터를 수정하여 악의적인 부작용을 개체에 주입할 수 있습니다. 예를 들어 안전하지 않은 역직렬 변환기에 대한 공격은 기본 운영 체제에서 명령을 실행하거나, 네트워크를 통해 통신하거나, 파일을 삭제할 수 있습니다.
이 규칙은 System.Web.UI.LosFormatter deserialization 메서드 호출 또는 참조를 찾습니다.
LosFormatter는 안전하지 않으며 안전하게 할 수 없습니다. 자세한 내용은 BinaryFormatter 보안 가이드를 참조하세요.
위반 문제를 해결하는 방법
- 보안 직렬 변환기를 대신 사용하고 공격자가 역직렬화할 임의 형식을 지정할 수 없도록 합니다. 자세한 내용은 기본 설정 대안을 참조하세요.
- 직렬화된 데이터를 변조 방지로 설정합니다. serialization 후에 직렬화된 데이터에 암호화된 방식으로 서명합니다. deserialization 전에 암호화 시그니처의 유효성을 검사합니다. 암호화 키가 공개되지 않도록 보호하고 키 순환을 설계합니다.
경고를 표시하지 않는 경우
LosFormatter는 안전하지 않으며 안전하게 할 수 없습니다.
의사 코드 예제
위반
using System.IO;
using System.Web.UI;
public class ExampleClass
{
public object MyDeserialize(byte[] bytes)
{
LosFormatter formatter = new LosFormatter();
return formatter.Deserialize(new MemoryStream(bytes));
}
}
Imports System.IO
Imports System.Web.UI
Public Class ExampleClass
Public Function MyDeserialize(bytes As Byte()) As Object
Dim formatter As LosFormatter = New LosFormatter()
Return formatter.Deserialize(New MemoryStream(bytes))
End Function
End Class
GitHub에서 Microsoft와 공동 작업
이 콘텐츠의 원본은 GitHub에서 찾을 수 있으며, 여기서 문제와 끌어오기 요청을 만들고 검토할 수도 있습니다. 자세한 내용은 참여자 가이드를 참조하세요.
.NET
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기