CA2351: Verifique se a entrada de DataSet.ReadXml() é confiável
Property | valor |
---|---|
ID da regra | CA2351 |
Título | Verifique se a entrada de DataSet.ReadXml() é confiável |
Categoria | Segurança |
A correção está quebrando ou não quebrando | Sem quebra |
Habilitado por padrão no .NET 9 | Não |
Motivo
O DataSet.ReadXml método foi chamado ou referenciado, e não dentro do código gerado automaticamente.
Esta regra classifica o código gerado automaticamente b:
- Estar dentro de um método chamado
ReadXmlSerializable
. - O
ReadXmlSerializable
método tem um System.Diagnostics.DebuggerNonUserCodeAttributearquivo . - O
ReadXmlSerializable
método está dentro de um tipo que tem um System.ComponentModel.DesignerCategoryAttributearquivo .
CA2361 é uma regra semelhante, para quando DataSet.ReadXml aparece dentro do código gerado automaticamente.
Descrição da regra
Ao desserializar uma DataSet entrada não confiável, um invasor pode criar uma entrada mal-intencionada para executar um ataque de negação de serviço. Pode haver vulnerabilidades desconhecidas de execução remota de código.
Para obter mais informações, consulte Diretrizes de segurança DataSet e DataTable.
Como corrigir violações
- Se possível, use o Entity Framework em vez do DataSet.
- Torne os dados serializados invioláveis. Após a serialização, assine criptograficamente os dados serializados. Antes da desserialização, valide a assinatura criptográfica. Proteja a chave criptográfica de ser divulgada e projete rotações de chave.
Quando suprimir avisos
É seguro suprimir um aviso desta regra se:
- Você sabe que a entrada é confiável. Considere que o limite de confiança e os fluxos de dados do seu aplicativo podem mudar ao longo do tempo.
- Você tomou uma das precauções em Como corrigir violações.
Suprimir um aviso
Se você quiser apenas suprimir uma única violação, adicione diretivas de pré-processador ao seu arquivo de origem para desativar e, em seguida, reativar a regra.
#pragma warning disable CA2351
// The code that's violating the rule is on this line.
#pragma warning restore CA2351
Para desabilitar a regra de um arquivo, pasta ou projeto, defina sua gravidade como none
no arquivo de configuração.
[*.{cs,vb}]
dotnet_diagnostic.CA2351.severity = none
Para obter mais informações, consulte Como suprimir avisos de análise de código.
Exemplos de pseudocódigo
Violação
using System.Data;
public class ExampleClass
{
public DataSet MyDeserialize(string untrustedXml)
{
DataSet dt = new DataSet();
dt.ReadXml(untrustedXml);
}
}
Regras conexas
CA2350: Verifique se a entrada de DataTable.ReadXml() é confiável
CA2353: DataSet ou DataTable não seguro no tipo serializável
CA2355: DataSet ou DataTable não seguro no gráfico de objeto desserializado
CA2356: DataSet ou DataTable não seguro no gráfico de objeto desserializado da Web