Partilhar via


CA2356: Tipo de DataSet ou DataTable não seguro no gráfico de objeto desserializado da Web

Property valor
ID da regra CA2356
Título Tipo DataSet ou DataTable não seguro no gráfico de objeto desserializado da Web
Categoria Segurança
A correção está quebrando ou não quebrando Sem quebra
Habilitado por padrão no .NET 9 Não

Motivo

Um método com um System.Web.Services.WebMethodAttribute ou System.ServiceModel.OperationContractAttribute tem um parâmetro que pode fazer referência a ou DataSet DataTable.

Esta regra usa uma abordagem diferente para uma regra semelhante, CA2355: Unsafe DataSet ou DataTable no gráfico de objetos desserializados e encontrará avisos diferentes.

Descrição da regra

Ao desserializar a entrada não confiável e o gráfico de objeto desserializado contiver um DataSet ou DataTable, um invasor pode criar uma carga mal-intencionada para executar um ataque de negação de serviço. Pode haver vulnerabilidades desconhecidas de execução remota de código.

Para obter mais informações, consulte Diretrizes de segurança DataSet e DataTable.

Como corrigir violações

  • Se possível, use o Entity Framework em vez de DataSet e DataTable.
  • Torne os dados serializados invioláveis. Após a serialização, assine criptograficamente os dados serializados. Antes da desserialização, valide a assinatura criptográfica. Proteja a chave criptográfica de ser divulgada e projete rotações de chave.

Quando suprimir avisos

É seguro suprimir um aviso desta regra se:

  • Você sabe que a entrada é confiável. Considere que o limite de confiança e os fluxos de dados do seu aplicativo podem mudar ao longo do tempo.
  • Você tomou uma das precauções em Como corrigir violações.

Suprimir um aviso

Se você quiser apenas suprimir uma única violação, adicione diretivas de pré-processador ao seu arquivo de origem para desativar e, em seguida, reativar a regra.

#pragma warning disable CA2356
// The code that's violating the rule is on this line.
#pragma warning restore CA2356

Para desabilitar a regra de um arquivo, pasta ou projeto, defina sua gravidade como none no arquivo de configuração.

[*.{cs,vb}]
dotnet_diagnostic.CA2356.severity = none

Para obter mais informações, consulte Como suprimir avisos de análise de código.

Exemplos de pseudocódigo

Violação

using System;
using System.Data;
using System.Web.Services;

[WebService(Namespace = "http://contoso.example.com/")]
public class MyService : WebService
{
    [WebMethod]
    public string MyWebMethod(DataTable dataTable)
    {
        return null;
    }
}

CA2350: Verifique se a entrada de DataTable.ReadXml() é confiável

CA2351: Verifique se a entrada de DataSet.ReadXml() é confiável

CA2352: DataSet ou DataTable não seguros em tipo serializável podem ser vulneráveis a ataques de execução remota de código

CA2353: DataSet ou DataTable não seguro no tipo serializável

CA2354: DataSet ou DataTable não seguros no gráfico de objetos desserializados podem ser vulneráveis a ataques de execução remota de código

CA2355: DataSet ou DataTable não seguro no gráfico de objeto desserializado

CA2361: Verifique se a entrada do DataSet.ReadXml() é confiável

CA2362: DataSet ou DataTable não seguros no tipo serializável gerado automaticamente podem ser vulneráveis a ataques de execução remota de código