Sdílet prostřednictvím


CA2350: Ujistěte se, že vstup DataTable.ReadXml() je důvěryhodný.

Vlastnost Hodnota
ID pravidla CA2350
Název Ujistěte se, že vstup pro DataTable.ReadXml() je důvěryhodný
Kategorie Zabezpečení
Oprava způsobující chybu nebo chybu způsobující chybu Nenarušující
Povoleno ve výchozím nastavení v .NET 9 No

Příčina

Metoda DataTable.ReadXml byla volána nebo odkazována.

Popis pravidla

Při deserializaci nedůvěryhodného DataTable vstupu může útočník vytvořit škodlivý vstup, který provede útok do služby dos. Může se jednat o neznámá ohrožení zabezpečení vzdáleného spuštění kódu.

Další informace naleznete v tématu DataSet a DataTable security guidance.

Jak opravit porušení

  • Pokud je to možné, použijte Entity Framework místo DataTable.
  • Zfalšujte serializovaná data a zfalšujte je. Po serializaci kryptograficky podepisujte serializovaná data. Před deserializací ověřte kryptografický podpis. Chraňte kryptografický klíč před zveřejněním a návrhem obměny klíčů.

Kdy potlačit upozornění

Upozornění z tohoto pravidla je bezpečné potlačit, pokud:

  • Víte, že vstup je důvěryhodný. Vezměte v úvahu, že hranice důvěryhodnosti vaší aplikace a toky dat se můžou v průběhu času měnit.
  • Provedli jste jedno z bezpečnostních opatření v části Jak opravit porušení.

Potlačení upozornění

Pokud chcete pouze potlačit jedno porušení, přidejte do zdrojového souboru direktivy preprocesoru, abyste pravidlo zakázali a znovu povolili.

#pragma warning disable CA2350
// The code that's violating the rule is on this line.
#pragma warning restore CA2350

Pokud chcete pravidlo pro soubor, složku nebo projekt zakázat, nastavte jeho závažnost v none konfiguračním souboru.

[*.{cs,vb}]
dotnet_diagnostic.CA2350.severity = none

Další informace naleznete v tématu Jak potlačit upozornění analýzy kódu.

Příklady pseudokódu

Porušení

using System.Data;

public class ExampleClass
{
    public DataTable MyDeserialize(string untrustedXml)
    {
        DataTable dt = new DataTable();
        dt.ReadXml(untrustedXml);
    }
}

CA2351: Ujistěte se, že vstup DataSet.ReadXml() je důvěryhodný.

CA2352: Nebezpečné datové sady nebo datové tabulky v serializovatelném typu mohou být ohroženy útoky vzdáleného spuštění kódu

CA2353: Nezabezpečená datová sada nebo datová tabulka v serializovatelném typu

CA2354: Nezabezpečená datová sada nebo datová tabulka v deserializovaném grafu objektů může být zranitelná vůči útokům vzdáleného spuštění kódu.

CA2355: Nezabezpečená datová sada nebo datová tabulka v deserializovaném grafu objektu

CA2356: Nezabezpečená datová sada nebo datová tabulka v grafu deserializovaného objektu webu

CA2361: Ujistěte se, že se u nedůvěryhodných dat nepoužívá automaticky vygenerovaná třída obsahující DataSet.ReadXml().

CA2362: Nebezpečná datová sada nebo datová tabulka v automaticky generovaném serializovatelném typu může být zranitelná vůči útokům vzdáleného spuštění kódu