CA2106: Asegurar aserciones
TypeName |
SecureAsserts |
Identificador de comprobación |
CA2106 |
Categoría |
Microsoft.Security |
Cambio problemático |
Problemático |
Motivo
Un método valida un permiso y no se realiza ninguna comprobación de seguridad en el llamador.
Descripción de la regla
Validar un permiso de seguridad sin realizar ninguna comprobación de seguridad puede dejar una debilidad de seguridad explotable en el código.Un recorrido de pila de seguridad se detiene cuando se somete a aserción un permiso de seguridad.Si valida un permiso sin realizar ninguna comprobación en el llamador, éste último podría ejecutar código indirectamente utilizando los permisos del usuario.Las aserciones sin comprobaciones de seguridad solo se permiten si está seguro de que la aserción no se puede utilizar de una manera dañina.Una aserción es inocua si el código al que llama es inocuo, o los usuarios no pueden pasar información arbitraria al código al que llama.
Cómo corregir infracciones
Para corregir una infracción de esta regla, agregue una demanda de seguridad al método o a su tipo declarativo.
Cuándo suprimir advertencias
Suprima una advertencia de esta regla solo después de una revisión exhaustiva de la seguridad.