Compartilhar via

CA2350: verifique se a entrada do DataTable.ReadXml() é confiável

  • Artigo
Property Valor
ID da regra CA2350
Título verifique se a entrada do DataTable.ReadXml() é confiável
Categoria Segurança
Correção interruptiva ou sem interrupção Sem interrupção
Habilitado por padrão no .NET 9 Não

Causa

O método DataTable.ReadXml foi chamado ou referenciado.

Descrição da regra

Quando você desserializa um DataTable com entrada não confiável, um invasor pode criar uma entrada mal-intencionada para executar um ataque de negação de serviço. Pode haver vulnerabilidades desconhecidas de execução de código remoto.

Para obter mais informações, consulte Diretrizes de segurança de DataSet e DataTable.

Como corrigir violações

  • Se possível, use o Entity Framework em vez do DataTable.
  • Torne os dados serializados à prova de adulteração. Após a serialização, assine criptograficamente os dados serializados. Antes da desserialização, valide a assinatura criptográfica. Proteja a chave criptográfica para impedir que ela seja divulgada e projete rotações de chave.

Quando suprimir avisos

É seguro suprimir um aviso dessa regra se:

  • Você souber que a entrada é confiável. Considere que o limite de confiança do seu aplicativo e os fluxos de dados podem ser alterados ao longo do tempo.
  • Você tiver tomado uma das precauções descritas em Como corrigir violações.

Suprimir um aviso

Para suprimir apenas uma violação, adicione diretivas de pré-processador ao arquivo de origem a fim de desabilitar e, em seguida, reabilitar a regra.

#pragma warning disable CA2350
// The code that's violating the rule is on this line.
#pragma warning restore CA2350

Para desabilitar a regra em um arquivo, uma pasta ou um projeto, defina a severidade como none no arquivo de configuração.

[*.{cs,vb}]
dotnet_diagnostic.CA2350.severity = none

Para obter mais informações, confira Como suprimir avisos de análise de código.

Exemplos de pseudocódigo

Violação

using System.Data;

public class ExampleClass
{
    public DataTable MyDeserialize(string untrustedXml)
    {
        DataTable dt = new DataTable();
        dt.ReadXml(untrustedXml);
    }
}

CA2351: verifique se a entrada do DataSet.ReadXml() é confiável

CA2352: DataSet ou DataTable não seguros no tipo serializável podem ser vulneráveis a ataques de execução de código remoto

CA2353: DataSet ou DataTable não seguros no tipo serializável

CA2354: DataSet ou DataTable não seguros no grafo de objetos desserializados podem ser vulneráveis a ataques de execução de código remoto

CA2355: DataSet ou DataTable não seguros no grafo de objetos desserializados

CA2356: DataSet ou DataTable não seguro no grafo de objetos desserializados da Web

CA2361: verifique se a classe gerada automaticamente que contém DataSet.ReadXml() não é usada quando os dados não são confiáveis

CA2362: DataSet ou DataTable não seguros em um tipo serializável gerado automaticamente podem ser vulneráveis a ataques de execução remota de código