CA3012: Esaminare il codice per individuare vulnerabilità regex injection
| Proprietà | valore |
|---|---|
| ID regola | CA3012 |
| Title | Esaminare il codice per verificare la presenza di vulnerabilità di tipo regex injection |
| Categoria | Sicurezza |
| La correzione causa un'interruzione o meno | Non causa un'interruzione |
| Abilitato per impostazione predefinita in .NET 9 | No |
Causa
L'input di richiesta HTTP potenzialmente non attendibile raggiunge un'espressione regolare.
Per impostazione predefinita, questa regola analizza l'intera codebase, ma è configurabile.
Descrizione regola
Quando si lavora con l'input non attendibile, tenere presente gli attacchi regex injection. Un utente malintenzionato può usare l'inserimento regex per modificare in modo dannoso un'espressione regolare, per rendere la corrispondenza regolare risultati imprevisti o per fare in modo che l'espressione regolare utilizzi una CPU eccessiva con conseguente attacco Denial of Service.
Questa regola tenta di trovare l'input dalle richieste HTTP che raggiungono un'espressione regolare.
Nota
Questa regola non è in grado di tenere traccia dei dati tra gli assembly. Ad esempio, se un assembly legge l'input della richiesta HTTP e lo passa a un altro assembly che crea un'espressione regolare, questa regola non genera un avviso.
Nota
Esiste un limite configurabile per quanto profonda questa regola analizzerà il flusso di dati tra le chiamate ai metodi. Per informazioni su come configurare il limite in un file EditorConfig, vedere Configurazione dell'analizzatore.
Come correggere le violazioni
Alcune mitigazioni contro le iniezioni regex includono:
- Usare sempre un timeout di corrispondenza quando si usano espressioni regolari.
- Evitare di usare espressioni regolari in base all'input dell'utente.
- Escape di caratteri speciali dall'input dell'utente chiamando System.Text.RegularExpressions.Regex.Escape o un altro metodo.
- Consenti solo caratteri non speciali dall'input dell'utente.
Quando eliminare gli avvisi
Se si sa che si usa un timeout di corrispondenza e l'input dell'utente è privo di caratteri speciali, è possibile eliminare questo avviso.
Eliminare un avviso
Se si vuole eliminare una singola violazione, aggiungere direttive del preprocessore al file di origine per disabilitare e quindi riabilitare la regola.
#pragma warning disable CA3012
// The code that's violating the rule is on this line.
#pragma warning restore CA3012
Per disabilitare la regola per un file, una cartella o un progetto, impostarne la gravità none su nel file di configurazione.
[*.{cs,vb}]
dotnet_diagnostic.CA3012.severity = none
Per altre informazioni, vedere Come eliminare gli avvisi di analisi del codice.
Configurare il codice da analizzare
Usare le opzioni seguenti per configurare le parti della codebase in cui eseguire questa regola.
È possibile configurare queste opzioni solo per questa regola, per tutte le regole a cui si applica o per tutte le regole in questa categoria (Sicurezza) a cui si applica. Per altre informazioni, vedere Opzioni di configurazione delle regole di qualità del codice.
Escludere simboli specifici
È possibile escludere simboli specifici, ad esempio tipi e metodi, dall'analisi. Ad esempio, per specificare che la regola non deve essere eseguita in alcun codice all'interno di tipi denominati MyType, aggiungere la coppia chiave-valore seguente a un file con estensione editorconfig nel progetto:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
Formati di nome simbolo consentiti nel valore dell'opzione (separati da |):
- Solo nome simbolo (include tutti i simboli con il nome, indipendentemente dal tipo o dallo spazio dei nomi contenitore).
- Nomi completi nel formato ID della documentazione del simbolo. Ogni nome di simbolo richiede un prefisso di tipo simbolo, ad esempio
M:per i metodi,T:per i tipi eN:per gli spazi dei nomi. .ctorper costruttori e.cctorper costruttori statici.
Esempi:
| Valore opzione | Riepilogo |
|---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
Corrisponde a tutti i simboli denominati MyType. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
Corrisponde a tutti i simboli denominati MyType1 o MyType2. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
Corrisponde a un metodo MyMethod specifico con la firma completa specificata. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
Trova la corrispondenza con metodi MyMethod1 specifici e MyMethod2 con le rispettive firme complete. |
Escludere tipi specifici e i relativi tipi derivati
È possibile escludere tipi specifici e i relativi tipi derivati dall'analisi. Ad esempio, per specificare che la regola non deve essere eseguita in alcun metodo all'interno di tipi denominati MyType e dei relativi tipi derivati, aggiungere la coppia chiave-valore seguente a un file con estensione editorconfig nel progetto:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
Formati di nome simbolo consentiti nel valore dell'opzione (separati da |):
- Solo nome di tipo (include tutti i tipi con il nome, indipendentemente dal tipo o dallo spazio dei nomi contenitore).
- Nomi completi nel formato ID della documentazione del simbolo, con un prefisso facoltativo
T:.
Esempi:
| Valore opzione | Riepilogo |
|---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
Corrisponde a tutti i tipi denominati MyType e a tutti i relativi tipi derivati. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
Corrisponde a tutti i tipi denominati MyType1 o MyType2 e a tutti i relativi tipi derivati. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
Corrisponde a un tipo MyType specifico con il nome completo specificato e tutti i relativi tipi derivati. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
Corrisponde a tipi MyType1 specifici e MyType2 con i rispettivi nomi completi e tutti i relativi tipi derivati. |
Esempi di pseudo-codice
Violazione
using System;
using System.Text.RegularExpressions;
public partial class WebForm : System.Web.UI.Page
{
public string SearchableText { get; set; }
protected void Page_Load(object sender, EventArgs e)
{
string findTerm = Request.Form["findTerm"];
Match m = Regex.Match(SearchableText, "^term=" + findTerm);
}
}
Imports System
Imports System.Text.RegularExpressions
Public Partial Class WebForm
Inherits System.Web.UI.Page
Public Property SearchableText As String
Protected Sub Page_Load(sender As Object, e As EventArgs)
Dim findTerm As String = Request.Form("findTerm")
Dim m As Match = Regex.Match(SearchableText, "^term=" + findTerm)
End Sub
End Class
