CA3007: Examinar código quanto a vulnerabilidades de redirecionamento aberto
Property | Valor |
---|---|
ID da regra | CA3007 |
Título | Examinar código quanto a vulnerabilidades de redirecionamento aberto |
Categoria | Segurança |
Correção interruptiva ou sem interrupção | Sem interrupção |
Habilitado por padrão no .NET 9 | Não |
Causa
A entrada de solicitação HTTP potencialmente não confiável atinge um redirecionamento de resposta HTTP.
Por padrão, essa regra analisa toda a base de código, mas isso é configurável.
Descrição da regra
Ao trabalhar com entradas não confiáveis, tenha atenção quanto a vulnerabilidades de redirecionamento aberto. Um invasor pode explorar uma vulnerabilidade de redirecionamento aberto usando seu site para dar a aparência de uma URL legítima, mas realizando o redirecionamento dos visitantes desavisados para uma página da Web de phishing ou mal-intencionada.
Esta regra tenta encontrar entradas de solicitações HTTP que atingem uma URL de redirecionamento HTTP.
Observação
Essa regra não é capaz de rastrear dados em assemblies. Por exemplo, se um assembly ler a entrada de solicitação HTTP e a transmitir a outro assembly que responde com um redirecionamento HTTP, essa regra não produzirá nenhum aviso.
Observação
Há um limite configurável para a profundidade com que essa regra analisa o fluxo de dados nas chamadas de método. Consulte Configuração do analisador para saber como configurar o limite em um arquivo EditorConfig.
Como corrigir violações
Algumas abordagens para corrigir vulnerabilidades de redirecionamento aberto incluem:
- Não permita que os usuários iniciem redirecionamentos.
- Não permita que os usuários especifiquem qualquer parte da URL em um cenário de redirecionamento.
- Restrinja redirecionamentos a uma "lista de permissões" predefinida de URLs.
- Validar URLs de redirecionamento.
- Se aplicável, considere usar uma página de aviso de isenção de responsabilidade quando os usuários estiverem sendo redirecionados para longe do seu site.
Quando suprimir avisos
Se você souber que validou a entrada como restrita para URLs pretendidas, não há problema em suprimir esse aviso.
Suprimir um aviso
Para suprimir apenas uma violação, adicione diretivas de pré-processador ao arquivo de origem a fim de desabilitar e, em seguida, reabilitar a regra.
#pragma warning disable CA3007
// The code that's violating the rule is on this line.
#pragma warning restore CA3007
Para desabilitar a regra em um arquivo, uma pasta ou um projeto, defina a severidade como none
no arquivo de configuração.
[*.{cs,vb}]
dotnet_diagnostic.CA3007.severity = none
Para obter mais informações, confira Como suprimir avisos de análise de código.
Configurar código para analisar
Use as opções a seguir para configurar em quais partes da base de código essa regra deve ser executada.
Você pode configurar essas opções apenas para essa regra, para todas as regras às quais ela se aplica ou para todas as regras nessa categoria (Segurança) às quais ela se aplica. Para saber mais, confira Opções de configuração de regra de qualidade de código.
Excluir símbolos específicos
Você pode excluir da análise símbolos específicos, como tipos e métodos. Por exemplo, para especificar que a regra não deve ser executada em nenhum código dentro de tipos nomeados MyType
, adicione o seguinte par chave-valor a um arquivo .editorconfig no seu projeto:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
Formatos de nome de símbolo permitidos no valor da opção (separados por |
):
- Somente nome do símbolo (inclui todos os símbolos com o nome, independentemente do tipo ou namespace que contém).
- Nomes totalmente qualificados no formato de ID de documentação do símbolo. Cada nome de símbolo requer um prefixo do tipo símbolo, como
M:
para métodos,T:
para tipos eN:
para namespaces. .ctor
para construtores e.cctor
para construtores estáticos.
Exemplos:
Valor de Opção | Resumo |
---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
Corresponde a todos os símbolos nomeados MyType . |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
Corresponde a todos os símbolos nomeados MyType1 ou MyType2 . |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
Corresponde ao método MyMethod específico com a assinatura totalmente qualificada especificada. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
Corresponde aos métodos MyMethod1 e MyMethod2 específico com as assinaturas respectivas totalmente qualificadas. |
Excluir tipos específicos e seus tipos derivados
Você pode excluir tipos específicos e seus tipos derivados da análise. Por exemplo, para especificar que a regra não deve ser executada em nenhum método dentro de tipos nomeados MyType
e seus tipos derivados, adicione o seguinte par chave-valor a um arquivo .editorconfig no seu projeto:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
Formatos de nome de símbolo permitidos no valor da opção (separados por |
):
- Somente nome do tipo (inclui todos os tipos com o nome, independentemente do tipo ou namespace que contém).
- Nomes totalmente qualificados no formato de ID de documentação do símbolo, com um prefixo opcional
T:
.
Exemplos:
Valor de Opção | Resumo |
---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
Corresponde a todos os tipos nomeados MyType e todos os seus tipos derivados. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
Corresponde a todos os tipos nomeados MyType1 ou MyType2 e todos os seus tipos derivados. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
Corresponde a um tipo MyType específico com determinado nome totalmente qualificado e todos os seus tipos derivados. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
Corresponde a tipos MyType1 e MyType2 específicos com os respectivos nomes totalmente qualificados e todos os seus tipos derivados. |
Exemplos de pseudocódigo
Violação
using System;
public partial class WebForm : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string input = Request.Form["url"];
this.Response.Redirect(input);
}
}
Imports System
Partial Public Class WebForm
Inherits System.Web.UI.Page
Protected Sub Page_Load(sender As Object, eventArgs As EventArgs)
Dim input As String = Me.Request.Form("url")
Me.Response.Redirect(input)
End Sub
End Class
Solução
using System;
public partial class WebForm : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string input = Request.Form["in"];
if (String.IsNullOrWhiteSpace(input))
{
this.Response.Redirect("https://example.org/login.html");
}
}
}
Imports System
Partial Public Class WebForm
Inherits System.Web.UI.Page
Protected Sub Page_Load(sender As Object, eventArgs As EventArgs)
Dim input As String = Me.Request.Form("in")
If String.IsNullOrWhiteSpace(input) Then
Me.Response.Redirect("https://example.org/login.html")
End If
End Sub
End Class