Partilhar via


CA2351: Verifique se a entrada de DataSet.ReadXml() é confiável

Property valor
ID da regra CA2351
Título Verifique se a entrada de DataSet.ReadXml() é confiável
Categoria Segurança
A correção está quebrando ou não quebrando Sem quebra
Habilitado por padrão no .NET 9 Não

Motivo

O DataSet.ReadXml método foi chamado ou referenciado, e não dentro do código gerado automaticamente.

Esta regra classifica o código gerado automaticamente b:

CA2361 é uma regra semelhante, para quando DataSet.ReadXml aparece dentro do código gerado automaticamente.

Descrição da regra

Ao desserializar uma DataSet entrada não confiável, um invasor pode criar uma entrada mal-intencionada para executar um ataque de negação de serviço. Pode haver vulnerabilidades desconhecidas de execução remota de código.

Para obter mais informações, consulte Diretrizes de segurança DataSet e DataTable.

Como corrigir violações

  • Se possível, use o Entity Framework em vez do DataSet.
  • Torne os dados serializados invioláveis. Após a serialização, assine criptograficamente os dados serializados. Antes da desserialização, valide a assinatura criptográfica. Proteja a chave criptográfica de ser divulgada e projete rotações de chave.

Quando suprimir avisos

É seguro suprimir um aviso desta regra se:

  • Você sabe que a entrada é confiável. Considere que o limite de confiança e os fluxos de dados do seu aplicativo podem mudar ao longo do tempo.
  • Você tomou uma das precauções em Como corrigir violações.

Suprimir um aviso

Se você quiser apenas suprimir uma única violação, adicione diretivas de pré-processador ao seu arquivo de origem para desativar e, em seguida, reativar a regra.

#pragma warning disable CA2351
// The code that's violating the rule is on this line.
#pragma warning restore CA2351

Para desabilitar a regra de um arquivo, pasta ou projeto, defina sua gravidade como none no arquivo de configuração.

[*.{cs,vb}]
dotnet_diagnostic.CA2351.severity = none

Para obter mais informações, consulte Como suprimir avisos de análise de código.

Exemplos de pseudocódigo

Violação

using System.Data;

public class ExampleClass
{
    public DataSet MyDeserialize(string untrustedXml)
    {
        DataSet dt = new DataSet();
        dt.ReadXml(untrustedXml);
    }
}

CA2350: Verifique se a entrada de DataTable.ReadXml() é confiável

CA2352: DataSet ou DataTable não seguros em tipo serializável podem ser vulneráveis a ataques de execução remota de código

CA2353: DataSet ou DataTable não seguro no tipo serializável

CA2354: DataSet ou DataTable não seguros no gráfico de objetos desserializados podem ser vulneráveis a ataques de execução remota de código

CA2355: DataSet ou DataTable não seguro no gráfico de objeto desserializado

CA2356: DataSet ou DataTable não seguro no gráfico de objeto desserializado da Web

CA2361: Verifique se a classe gerada automaticamente que contém DataSet.ReadXml() não é usada com dados não confiáveis

CA2362: DataSet ou DataTable não seguros no tipo serializável gerado automaticamente podem ser vulneráveis a ataques de execução remota de código