CA2315: 안전하지 않은 역직렬 변환기 ObjectStateFormatter를 사용하지 마세요.
속성 | 값 |
---|---|
규칙 ID | CA2315 |
제목 | 안전하지 않은 역직렬 변환기 ObjectStateFormatter를 사용하지 마세요. |
범주 | 보안 |
수정 사항이 주요 변경인지 여부 | 주요 변경 아님 |
.NET 9에서 기본적으로 사용 | 아니요 |
원인
System.Web.UI.ObjectStateFormatter deserialization 메서드를 호출했거나 참조했습니다.
규칙 설명
안전하지 않은 역직렬 변환기는 신뢰할 수 없는 데이터를 역직렬화할 때 취약합니다. 공격자는 예기치 않은 형식을 포함하도록 직렬화된 데이터를 수정하여 악의적인 부작용을 개체에 주입할 수 있습니다. 예를 들어 안전하지 않은 역직렬 변환기에 대한 공격은 기본 운영 체제에서 명령을 실행하거나, 네트워크를 통해 통신하거나, 파일을 삭제할 수 있습니다.
이 규칙은 System.Web.UI.ObjectStateFormatter deserialization 메서드 호출 또는 참조를 찾습니다.
위반 문제를 해결하는 방법
가능한 경우 보안 직렬 변환기를 대신 사용하고 공격자가 역직렬화할 임의 형식을 지정할 수 없도록 합니다. 몇 가지 더 안전한 직렬 변환기에는 다음이 포함됩니다.
- System.Runtime.Serialization.DataContractSerializer
- System.Runtime.Serialization.Json.DataContractJsonSerializer
- System.Web.Script.Serialization.JavaScriptSerializer - System.Web.Script.Serialization.SimpleTypeResolver를 사용하지 않습니다. 형식 확인자를 사용해야 하는 경우 역직렬화된 형식을 예상 목록으로 제한합니다.
- System.Xml.Serialization.XmlSerializer
- Newtonsoft Json.NET - TypeNameHandling.None을 사용합니다. TypeNameHandling에 다른 값을 사용해야 하는 경우 사용자 지정 ISerializationBinder를 사용하여 역직렬화된 형식을 예상 목록으로 제한합니다.
- 프로토콜 버퍼
직렬화된 데이터를 변조 방지로 설정합니다. serialization 후에 직렬화된 데이터에 암호화된 방식으로 서명합니다. deserialization 전에 암호화 시그니처의 유효성을 검사합니다. 암호화 키가 공개되지 않도록 보호하고 키 순환을 설계합니다.
경고를 표시하지 않는 경우
다음 경우에는 이 규칙의 경고를 표시하지 않아도 됩니다.
- 입력을 신뢰할 수 있습니다. 애플리케이션의 트러스트 경계 및 데이터 흐름이 시간이 지남에 따라 달라질 수 있다는 점을 고려합니다.
- 위반 문제를 해결하는 방법의 예방 조치 중 하나를 수행했습니다.
의사 코드 예제
위반
using System.IO;
using System.Web.UI;
public class ExampleClass
{
public object MyDeserialize(byte[] bytes)
{
ObjectStateFormatter formatter = new ObjectStateFormatter();
return formatter.Deserialize(new MemoryStream(bytes));
}
}
Imports System.IO
Imports System.Web.UI
Public Class ExampleClass
Public Function MyDeserialize(bytes As Byte()) As Object
Dim formatter As ObjectStateFormatter = New ObjectStateFormatter()
Return formatter.Deserialize(New MemoryStream(bytes))
End Function
End Class
GitHub에서 Microsoft와 공동 작업
이 콘텐츠의 원본은 GitHub에서 찾을 수 있으며, 여기서 문제와 끌어오기 요청을 만들고 검토할 수도 있습니다. 자세한 내용은 참여자 가이드를 참조하세요.
.NET