CA2305:請勿使用不安全的還原序列化程式 LosFormatter
屬性 | 值 |
---|---|
規則識別碼 | CA2305 |
職稱 | 請勿使用不安全的還原序列化程式 LosFormatter |
類別 | 安全性 |
修正程式是中斷或非中斷 | 不中斷 |
預設在 .NET 9 中啟用 | No |
原因
System.Web.UI.LosFormatter已呼叫或參考還原串行化方法。
檔案描述
還原序列化未受信任資料時,不安全的還原序列化程式會易受攻擊。 攻擊者可以修改序列化的資料,以包含非預期的型別,以插入具有惡意副作用的物件。 例如,對不安全還原串行化程式的攻擊可能會在基礎操作系統上執行命令、透過網路通訊或刪除檔案。
此規則會 System.Web.UI.LosFormatter 尋找還原串行化方法呼叫或參考。
LosFormatter
不安全且無法確保安全。 如需詳細資訊,請參閱 BinaryFormatter 安全性指南。
如何修正違規
- 請改用安全的串行化程式,而且 不允許攻擊者指定要還原串行化的任意類型。 如需詳細資訊,請參閱 慣用的替代方案。
- 讓串行化的數據防竄改。 串行化之後,以密碼編譯方式簽署串行化的數據。 還原串行化之前,請先驗證密碼編譯簽章。 保護密碼編譯金鑰,避免洩漏金鑰,並設計金鑰輪替。
隱藏警告的時機
LosFormatter
不安全且無法確保安全。
虛擬程式代碼範例
違規
using System.IO;
using System.Web.UI;
public class ExampleClass
{
public object MyDeserialize(byte[] bytes)
{
LosFormatter formatter = new LosFormatter();
return formatter.Deserialize(new MemoryStream(bytes));
}
}
Imports System.IO
Imports System.Web.UI
Public Class ExampleClass
Public Function MyDeserialize(bytes As Byte()) As Object
Dim formatter As LosFormatter = New LosFormatter()
Return formatter.Deserialize(New MemoryStream(bytes))
End Function
End Class