CA5392: P/Invokes에 DefaultDllImportSearchPaths 특성 사용
속성 | 값 |
---|---|
규칙 ID | CA5392 |
제목 | P/Invokes에 DefaultDllImportSearchPaths 특성을 사용하세요. |
범주 | 보안 |
수정 사항이 주요 변경인지 여부 | 주요 변경 아님 |
.NET 9에서 기본적으로 사용 | 아니요 |
원인
DefaultDllImportSearchPathsAttribute가 P/Invoke(플랫폼 호출) 함수에 대해 지정되지 않았습니다.
규칙 설명
기본적으로 DllImportAttribute를 사용하는 P/Invoke 함수는 로드할 라이브러리의 현재 작업 디렉터리를 포함하여 많은 디렉터리를 검색합니다. 이는 특정 애플리케이션에서 DLL 하이재킹으로 이어지는 보안 문제가 될 수 있습니다.
예를 들어 가져온 DLL과 이름이 같은 악성 DLL이 기본적으로 가장 먼저 검색될 현재 작업 디렉터리 아래에 배치되면 악성 DLL이 로드될 수 있습니다.
자세한 내용은 Load Library Safely(라이브러리를 안전하게 로드)를 참조하세요.
위반 문제를 해결하는 방법
DefaultDllImportSearchPathsAttribute를 사용하여 어셈블리 또는 메서드에 대해 DLL 검색 경로를 명시적으로 지정합니다.
경고를 표시하지 않는 경우
다음 경우에는 이 규칙을 표시하지 않아도 됩니다.
- 원하는 어셈블리가 로드되었습니다. 예를 들어 애플리케이션이 신뢰할 수 있는 서버에서 실행되고 파일을 완전히 신뢰합니다.
- 가져온 어셈블리가 일반적으로 사용되는 시스템 어셈블리(예: user32.dll)이며 검색 경로 전략이 Known DLLs mechanism(알려진 DLL 메커니즘)을 따릅니다.
경고 표시 안 함
단일 위반만 표시하지 않으려면 원본 파일에 전처리기 지시문을 추가하여 규칙을 사용하지 않도록 설정한 후 다시 사용하도록 설정합니다.
#pragma warning disable CA5392
// The code that's violating the rule is on this line.
#pragma warning restore CA5392
파일, 폴더 또는 프로젝트에 대한 규칙을 사용하지 않도록 설정하려면 none
에서 심각도를 으로 설정합니다.
[*.{cs,vb}]
dotnet_diagnostic.CA5392.severity = none
자세한 내용은 방법: 코드 분석 경고 표시 안 함을 참조하세요.
의사 코드 예제
using System;
using System.Runtime.InteropServices;
class ExampleClass
{
[DllImport("The3rdAssembly.dll")]
public static extern int MessageBox(IntPtr hWnd, String text, String caption, uint type);
public void ExampleMethod()
{
MessageBox(new IntPtr(0), "Hello World!", "Hello Dialog", 0);
}
}
솔루션
using System;
using System.Runtime.InteropServices;
class ExampleClass
{
[DllImport("The3rdAssembly.dll")]
[DefaultDllImportSearchPaths(DllImportSearchPath.UserDirectories)]
public static extern int MessageBox(IntPtr hWnd, String text, String caption, uint type);
public void ExampleMethod()
{
MessageBox(new IntPtr(0), "Hello World!", "Hello Dialog", 0);
}
}
관련 규칙
GitHub에서 Microsoft와 공동 작업
이 콘텐츠의 원본은 GitHub에서 찾을 수 있으며, 여기서 문제와 끌어오기 요청을 만들고 검토할 수도 있습니다. 자세한 내용은 참여자 가이드를 참조하세요.
.NET