安全性規則
安全性規則支援更安全的連結庫和應用程式。 這些規則有助於防止程式中的安全性缺陷。 如果您停用上述任何規則,您應該清楚標示程式代碼中的原因,並通知指定的安全性人員進行開發專案。
在本節中
| 規則 | 描述 |
|---|---|
| CA2100:檢閱 SQL 查詢是否有安全性弱點 | 方法會將 System.Data.IDbCommand.CommandText 屬性設為從方法的字串參數建構的字串。 此規則假設字串自變數包含使用者輸入。 從使用者輸入建置的 SQL 命令字串很容易遭受 SQL 插入式攻擊。 |
| CA2109:檢閱可見的事件處理程式 | 偵測到公用或受保護的事件處理方法。 除非絕對必要,否則不應該公開事件處理方法。 |
| CA2119:滿足私有介面的封裝方法 | 可繼承的公用類型提供了內部介面(在 Visual Basic 中稱為 Friend)的可覆寫方法實作。 若要解決此規則的違反情形,請防止方法在元件外部被覆寫。 |
| CA2153:避免處理損毀的狀態例外狀況 | 損毀狀態例外狀況 (CSE) 表示您的進程中存在記憶體損毀。 攔截這些問題,而不是讓進程崩潰,如果攻擊者能夠將漏洞放入受損的記憶體區域,可能會導致安全性漏洞。 |
| CA2300:請勿使用不安全的還原串行化程式 BinaryFormatter | 當反序列化不受信任的數據時,不安全的反序列化程序易於受到攻擊。 攻擊者可以修改串行化的數據,以包含非預期的類型,以插入具有惡意副作用的物件。 |
| CA2301:請勿呼叫 BinaryFormatter.Deserialize,而不先設定 BinaryFormatter.Binder | 當反序列化未受信任的數據時,不安全的反序列化程序會很脆弱。 攻擊者可以修改串行化的數據,以包含非預期的類型,以插入具有惡意副作用的物件。 |
| CA2302:先確定已設定 BinaryFormatter.Binder,再呼叫 BinaryFormatter.Deserialize | 反序列化未受信任的數據時,不安全的反序列化程式會變得脆弱。 攻擊者可以修改串行化的數據,以包含非預期的類型,以插入具有惡意副作用的物件。 |
| CA2305:請勿使用不安全的反序列化器 LosFormatter | 在反序列化未受信任的數據時,不安全的反序列化器容易受到攻擊。 攻擊者可以修改串行化的數據,以包含非預期的類型,以插入具有惡意副作用的物件。 |
| CA2310:請勿使用不安全的還原串行化程式 NetDataContractSerializer | 在反序列化不受信任的數據時,不安全的反序列化程式容易受到攻擊。 攻擊者可以修改串行化的數據,以包含非預期的類型,以插入具有惡意副作用的物件。 |
| CA2311:若未先設定 NetDataContractSerializer.Binder,請勿還原串行化 | 還原串行化未受信任的數據時,不安全的還原串行化程式很脆弱。 攻擊者可以修改串行化的數據,以包含非預期的類型,以插入具有惡意副作用的物件。 |
| CA2312:確定已設定 NetDataContractSerializer.Binder,再進行反序列化 | 還原串行化未受信任的數據時,不安全的還原串行化程式很脆弱。 攻擊者可以修改串行化的數據,以包含非預期的類型,以插入具有惡意副作用的物件。 |
| CA2315:請勿使用不安全的反序列化器 ObjectStateFormatter | 反序列化未受信任的數據時,不安全的反序列化程序非常脆弱。 攻擊者可以修改串行化的數據,以包含非預期的類型,以插入具有惡意副作用的物件。 |
| CA2321:請勿使用 SimpleTypeResolver 通過 JavaScriptSerializer 進行資料還原串行化 | 當反序列化未受信任的數據時,反序列化器存在安全漏洞。 攻擊者可以修改串行化的數據,以包含非預期的類型,以插入具有惡意副作用的物件。 |
| CA2322:確保 JavaScriptSerializer 不會在使用 SimpleTypeResolver 初始化後執行還原串行化 | 當反序列化未受信任的數據時,不安全的反序列化工具易受攻擊。 攻擊者可以修改串行化的數據,以包含非預期的類型,以插入具有惡意副作用的物件。 |
| CA2326:請勿使用除 None 以外的 TypeNameHandling 值 | 不安全的反序列化器在反序列化不受信任的數據時容易受到攻擊。 攻擊者可以修改串行化的數據,以包含非預期的類型,以插入具有惡意副作用的物件。 |
| CA2327:請勿使用不安全的 JsonSerializerSettings | 反序列化未受信任的數據時,序列化器的不安全性會導致脆弱性。 攻擊者可以修改串行化的數據,以包含非預期的類型,以插入具有惡意副作用的物件。 |
| CA2328:確保 JsonSerializerSettings 的安全性 | 當反序列化不受信任的數據時,不安全的反序列化程序存在漏洞。 攻擊者可以修改串行化的數據,以包含非預期的類型,以插入具有惡意副作用的物件。 |
| CA2329:請勿使用不安全的設定反序列化 "JsonSerializer" | 不安全的反序列化器在反序列化未受信任的資料時容易受到攻擊。 攻擊者可以修改串行化的數據,以包含非預期的類型,以插入具有惡意副作用的物件。 |
| CA2330:確保在進行 反序列化時,JsonSerializer 具有安全的設定 | 不安全的解序列化器在解序列化未受信任的數據時容易受到攻擊。 攻擊者可以修改串行化的數據,以包含非預期的類型,以插入具有惡意副作用的物件。 |
| CA2350:確保 DataTable.ReadXml()的輸入受信任 | 使用不受信任的輸入反序列化 DataTable 時,攻擊者可以製作惡意輸入來執行拒絕服務攻擊。 可能有未知的遠端程式代碼執行弱點。 |
| CA2351:確保 DataSet.ReadXml()的輸入受信任 | 使用不受信任的輸入反序列化 DataSet 時,攻擊者可以製作惡意輸入來執行拒絕服務攻擊。 可能有未知的遠端程式代碼執行弱點。 |
| CA2352:可串行化類型的不安全數據集或 DataTable 容易受到遠端程式代碼執行攻擊 | 標示為 SerializableAttribute 的類別或結構包含 DataSet 或 DataTable 欄位或屬性,而且沒有 GeneratedCodeAttribute。 |
| CA2353:可串行化類型的不安全數據集或 DataTable | 以 XML 串行化屬性或資料合約屬性標示的類別或結構包含 DataSet 或 DataTable 欄位或屬性。 |
| CA2354:反序列化的物件圖中不安全的數據集或 DataTable 可能容易受到遠端代碼執行攻擊 | 使用序列化 System.Runtime.Serialization.IFormatter 還原串行化,且轉換型別的物件圖形可以包含 DataSet 或 DataTable。 |
| CA2355:還原串行化物件圖形中的不安全數據集或 DataTable | 在反序列化涉及所轉換或指定類型的物件圖形時,該圖形可以包含 DataSet 或 DataTable。 |
| CA2356:Web 還原串行化物件圖形中的不安全數據集或 DataTable | 具有 System.Web.Services.WebMethodAttribute 或 System.ServiceModel.OperationContractAttribute 的方法具有可參考 DataSet 或 DataTable的參數。 |
| CA2361:確保包含 DataSet.ReadXml() 的自動產生類別不會與不受信任的數據搭配使用 | 使用不受信任的輸入還原串行化 DataSet 時,攻擊者可以製作惡意輸入來執行阻斷服務攻擊。 可能有未知的遠端程式代碼執行弱點。 |
| CA2362:自動生成的可序列化類型中的不安全數據集或 DataTable 可能容易受到遠端程式代碼執行攻擊 | 使用 BinaryFormatter 反序列化未受信任的輸入,且反序列化的物件圖形包含 DataSet 或 DataTable時,攻擊者可以製作惡意承載來執行遠端代碼執行攻擊。 |
| CA3001:檢查程式碼以防範 SQL 資料隱碼攻擊漏洞 | 使用不受信任的輸入和 SQL 命令時,請注意 SQL 插入式攻擊。 SQL 插入式攻擊可以執行惡意 SQL 命令,危害應用程式的安全性和完整性。 |
| CA3002:審查 XSS 脆弱性的程式代碼 | 使用來自網路請求的不受信任輸入時,請注意跨網站指令碼 (XSS) 攻擊。 XSS 攻擊會將不受信任的輸入插入原始 HTML 輸出,讓攻擊者執行惡意腳本或惡意修改網頁中的內容。 |
| CA3003:檢查程式碼中的檔案路徑注入漏洞 | 使用來自 Web 要求的不受信任輸入時,請注意在指定檔案路徑時使用使用者控制的輸入。 |
| CA3004:檢閱程式碼以查找資訊洩漏漏洞 | 揭露例外狀況資訊可讓攻擊者深入瞭解應用程式內部,這可協助攻擊者找出其他惡意探索弱點。 |
| CA3006:審查程式代碼以查找處理命令注入漏洞 | 使用不受信任的輸入時,請注意命令插入式攻擊。 命令插入式攻擊可以在基礎作系統上執行惡意命令,危害伺服器的安全性和完整性。 |
| CA3007:檢閱程式碼,以檢查開放重定向漏洞 | 當處理不受信任的輸入時,請留意開放重新導向漏洞。 攻擊者可以利用開放式重新導向弱點,使用您的網站提供合法 URL 的外觀,但將不知情的訪客重新導向至網路釣魚或其他惡意網頁。 |
| CA3008:檢查程式碼中的 XPath 注入漏洞 | 使用不受信任的輸入時,請注意 XPath 插入式攻擊。 使用不受信任的輸入建構 XPath 查詢可能會讓攻擊者惡意作查詢以傳回非預期的結果,並可能揭露查詢 XML 的內容。 |
| CA3009:審查 XML 注入攻擊漏洞的程式代碼 | 使用不受信任的輸入時,請注意 XML 插入式攻擊。 |
| CA3010:檢閱程式碼以查找XAML注入漏洞 | 使用不受信任的輸入時,請注意 XAML 插入式攻擊。 XAML 是直接代表物件具現化和執行的標記語言。 這表示在 XAML 中建立的元素可以與系統資源互動(例如網路存取和文件系統 IO)。 |
| CA3011:檢查程式代碼是否有 DLL 注入漏洞 | 使用不受信任的輸入時,請注意載入不受信任的程序代碼。 如果您的 Web 應用程式載入不受信任的程式代碼,攻擊者可能會將惡意 DLL 插入您的進程並執行惡意代碼。 |
| CA3012:檢閱 regex 插入式攻擊弱點的程式代碼 | 使用不受信任的輸入時,請注意 regex 插入式攻擊。 攻擊者可以使用 regex 插入來惡意修改正則表示式、讓 regex 比對非預期的結果,或讓 regex 耗用過多的 CPU 而導致拒絕服務攻擊。 |
| CA3061:不要透過 URL 新增架構 | 請勿使用不安全的 Add 方法多載,因為它可能會導致危險的外部參考。 |
| CA3075:不安全的 DTD 處理 | 如果您使用不安全的 DTDProcessing 實例或參考外部實體來源,剖析器可能會接受不受信任的輸入,並將敏感性資訊揭露給攻擊者。 |
| CA3076:不安全的 XSLT 腳本執行 | 如果您不安全地在 .NET 應用程式中執行 Extensible StyleSheet 語言轉換 (XSLT),處理器可能會解析不受信任的 URI 參考,這些參考可能會向攻擊者揭露敏感性資訊,導致阻斷服務和跨網站攻擊。 |
| CA3077:API 設計、XML 檔和 XML 文字讀取器中的不安全處理 | 設計衍生自 XMLDocument 和 XMLTextReader 的 API 時,請注意 DtdProcessing。 在參考或解析外部實體來源或設定 XML 中的不安全值時,使用不安全的 DTDProcessing 實例可能會導致資訊洩漏。 |
| CA3147:使用 ValidateAntiForgeryToken 標記動詞處理程式 | 設計 ASP.NET MVC 控制器時,請注意跨網站要求偽造攻擊。 跨網站要求偽造攻擊可以將來自已驗證用戶的惡意要求傳送至您的 ASP.NET MVC 控制器。 |
| CA5350:請勿使用弱式密碼編譯演算法 | 弱式加密演算法和哈希函式目前會基於許多原因使用,但不應用來保證所保護數據的機密性或完整性。 此規則會在程序代碼中找到 TripleDES、SHA1 或 RIPEMD160 演算法時觸發。 |
| CA5351:請勿使用中斷的密碼編譯演算法 | 中斷的密碼編譯演算法不會被視為安全,因此強烈建議您不要使用它們。 此規則會在程式代碼中尋找 MD5 哈希演算法或 DES 或 RC2 加密演算法時觸發。 |
| CA5358:請勿使用不安全的加密模式 | 請勿使用不安全的加密模式 |
| CA5359:請勿停用憑證驗證 | 憑證可協助驗證伺服器的身分識別。 客戶端應該驗證伺服器證書,以確保要求會傳送至預定的伺服器。 如果 ServerCertificateValidationCallback 一律傳回 true,則任何憑證都會通過驗證。 |
| CA5360 不要在反序列化中呼叫危險方法 | 不安全的反序列化是一種弱點,當未受信任的數據被用來濫用應用程式的邏輯、發動拒絕服務(DoS)攻擊,或甚至在反序列化時執行任意程式代碼時就會發生。 當應用程式在反序列化不受信任且受其控制的數據時,惡意使用者往往會濫用這些反序列化功能。 具體而言,在還原串行化過程中叫用危險的方法。 成功的不安全還原串行化攻擊可讓攻擊者執行 DoS 攻擊、驗證略過和遠端程式代碼執行等攻擊。 |
| CA5361:請勿停用 SChannel 的強加密功能 | 將 Switch.System.Net.DontEnableSchUseStrongCrypto 設定為 true 會削弱傳出傳輸層安全性 (TLS) 連線中使用的密碼編譯。 較弱的密碼編譯可能會危害應用程式與伺服器之間的通訊機密性,讓攻擊者更容易竊聽敏感數據。 |
| CA5362:反序列化物件圖形中的潛在參考週期 | 如果反序列化不可信的資料,則任何處理反序列化物件圖的程式代碼都必須處理參考循環,避免進入無限迴圈。 這包括作為反序列化回呼一部分的代碼,以及反序列化完成後處理物件圖譜的代碼。 否則,攻擊者可以使用包含參考週期的惡意數據來執行拒絕服務攻擊。 |
| CA5363:請勿停用要求驗證 | 要求驗證是 ASP.NET 中的一項功能,會檢查 HTTP 要求,並判斷它們是否包含可能導致插入式攻擊的潛在危險內容,包括跨網站腳本處理。 |
| CA5364:請勿使用已被取代的安全性通訊協定 | 傳輸層安全性 (TLS) 可保護電腦之間的通訊,最常使用超文本傳輸通訊協定安全 (HTTPS)。 較舊的 TLS 通訊協定版本比 TLS 1.2 和 TLS 1.3 較不安全,而且更有可能有新的弱點。 避免較舊的通訊協定版本將風險降到最低。 |
| CA5365:請勿停用 HTTP 標頭檢查 | HTTP 標頭檢查允許編碼在回應標頭中找到的歸位字元和換行字符,其編碼分別為 \r 和 \n。 這種編碼有助於避免利用應用程式漏洞的注入攻擊,這些攻擊會響應標頭中包含的不受信任數據。 |
| CA5366:使用 XmlReader 進行數據集讀取 XML | 使用 DataSet 讀取不受信任的數據的 XML 可能會載入危險的外部參考,應透過使用具有安全解析程式的 XmlReader 或停用 DTD 處理來限制。 |
| CA5367:避免序列化含有指標欄位的類型 | 此規則會檢查是否有具有指標字段或屬性的可串行化類別。 無法串行化的成員可以是指針,例如以 NonSerializedAttribute標示的靜態成員或字段。 |
| CA5368:為 頁面所衍生的類別設定 ViewStateUserKey | 設定 ViewStateUserKey 屬性可協助您防止對應用程式的攻擊,方法是讓您將標識符指派給個別使用者的檢視狀態變數,讓攻擊者無法使用變數來產生攻擊。 否則,將會有跨站請求偽造的漏洞。 |
| CA5369:使用 XmlReader 反序列化 | 處理不受信任的 DTD 和 XML 架構可能會啟用載入危險的外部參考,這應該限制於使用具安全解析器的 XmlReader,或禁用 DTD 和 XML 內嵌架構處理。 |
| CA5370:使用 XmlReader 驗證讀取器 | 處理不受信任的 DTD 和 XML 架構可能會導致載入危險的外部參考。 使用具有安全解析程式的 XmlReader 或已停用 DTD 和 XML 內嵌架構處理,即可限制這種危險的載入。 |
| CA5371:使用 XmlReader 進行架構讀取 | 處理不受信任的 DTD 和 XML 架構可能會導致載入危險的外部參考。 使用 XmlReader 搭配安全解析程式,或停用 DTD 和 XML 內嵌架構處理會限制此設定。 |
| CA5372:使用 XmlReader 以便用於 XPathDocument | 為了防止從不受信任的數據處理 XML 時載入危險的外部參考,可以使用附有安全解析器的 XmlReader 或停用 DTD 處理來限制這些外部參考。 |
| CA5373:請勿使用過時的密鑰衍生函式 | 此規則會偵測弱式金鑰衍生方法的調用 System.Security.Cryptography.PasswordDeriveBytes 和 Rfc2898DeriveBytes.CryptDeriveKey。
System.Security.Cryptography.PasswordDeriveBytes 採用弱式演算法 PBKDF1。 |
| CA5374:請勿使用 XslTransform | 此規則會檢查 System.Xml.Xsl.XslTransform 是否在程式代碼中具現化。 System.Xml.Xsl.XslTransform 現在已過時,不應使用。 |
| CA5375:請勿使用帳戶共用存取簽章 | 帳戶 SAS 可以委派讀取、寫入和刪除 Blob 儲存體、表格、佇列和檔案共用作業的存取權,而這些作業是服務 SAS 不允許的。 不過,它不支援容器層級原則,而且對授與的許可權具有較少的彈性和控制權。 一旦惡意使用者取得,您的記憶體帳戶將很容易遭到入侵。 |
| CA5376:使用 SharedAccessProtocol 的 HttpsOnly | SAS 是無法在 HTTP 上以純文字傳輸的敏感數據。 |
| CA5377:使用容器層級存取原則 | 容器層級存取原則可以隨時修改或撤銷。 它提供更大的彈性和對授予的許可權的控制。 |
| CA5378:請勿停用 ServicePointManagerSecurityProtocols | 將 DisableUsingServicePointManagerSecurityProtocols 設定為 true,會將 Windows Communication Framework (WCF) 的傳輸層安全性 (TLS) 連線限制為只使用 TLS 1.0。 該版本的 TLS 將會被取代。 |
| CA5379:確定密鑰衍生函式演算法足夠強 |
Rfc2898DeriveBytes 類別預設為使用 SHA1 演算法。 您應該指定要在建構函式的某些多載中搭配 SHA256 或更高版本使用的哈希演算法。 請注意,HashAlgorithm 屬性只有 get 存取子,而且沒有 overridden 修飾詞。 |
| CA5380:請勿將憑證新增至根存放區 | 此規則會偵測將憑證新增至受信任的根憑證授權中心存儲區的程式碼。 根據預設,受信任根證書授權中心的證書存儲中會配置一組滿足 Microsoft 根證書計劃需求的公用 CA。 |
| CA5381:確定憑證不會新增至根目錄 | 此規則會偵測可能會將憑證新增至受信任的根憑證授權機構證書存儲的程序代碼。 根據預設,受信任的根憑證授權單位憑證存儲庫已配置了一組符合 Microsoft 根憑證計劃要求的公用憑證頒發單位(CA)。 |
| CA5382:在 ASP.NET Core 中使用安全的 Cookie | 透過 HTTPS 提供的應用程式必須使用安全 Cookie,以向瀏覽器指出 Cookie 只能使用傳輸層安全性 (TLS) 傳輸。 |
| CA5383:確定在 ASP.NET Core 中使用安全 Cookie | 透過 HTTPS 提供的應用程式必須使用安全 Cookie,以向瀏覽器指出 Cookie 只能使用傳輸層安全性 (TLS) 傳輸。 |
| CA5384:請勿使用數位簽名演算法 (DSA) | DSA 是弱式非對稱式加密演算法。 |
| CA5385:使用具有足夠密鑰大小 的 Rivest–Shamir–Adleman (RSA) 演算法 | 小於 2048 位的 RSA 金鑰更容易遭受暴力密碼破解攻擊。 |
| CA5386:避免硬式編碼 SecurityProtocolType 值 | 傳輸層安全性 (TLS) 可保護電腦之間的通訊,最常使用超文本傳輸通訊協定安全 (HTTPS)。 通訊協定版本 TLS 1.0 和 TLS 1.1 已被取代,而 TLS 1.2 和 TLS 1.3 是最新的。 未來,TLS 1.2 和 TLS 1.3 可能已被取代。 為了確保您的應用程式保持安全,請避免硬式編碼通訊協定版本,並至少以 .NET Framework v4.7.1 為目標。 |
| CA5387:請勿在反覆運算計數不足的弱式密鑰衍生函式 | 此規則會檢查密碼編譯密鑰是否由 Rfc2898DeriveBytes 產生,且反覆運算計數小於 100,000。 較高的迭代次數有助於減輕字典攻擊的風險,這些攻擊試圖猜測生成的密碼編譯密鑰。 |
| CA5388:使用弱密鑰衍生函式時,請確保有足夠的迭代次數 | 此規則會檢查密碼編譯密鑰是否由 Rfc2898DeriveBytes 產生,且反覆運算計數可能小於 100,000。 較高的迭代次數可以幫助對抗嘗試猜測所產生密碼金鑰的字典攻擊。 |
| CA5389:請勿將封存項目的路徑新增至目標文件系統路徑 | 檔案路徑可以是相對路徑,而且可能會導致檔案系統的存取超出預期的檔案系統目標路徑,進而透過放置並等待技術進行惡意配置更改和遠端代碼執行。 |
| CA5390:不要硬編碼加密密鑰 | 若要讓對稱演算法成功,只有傳送者和接收者才知道秘密密鑰。 當金鑰被硬編碼時,容易被發現。 即使使用編譯的二進位檔,惡意使用者也很容易擷取它。 一旦私鑰遭到入侵,密碼文字可以直接解密,而且不再受到保護。 |
| CA5391:在 ASP.NET Core MVC 控制器中使用防偽令牌 | 處理 POST、PUT、PATCH或 DELETE 要求而不驗證防偽令牌,可能會遭受跨站請求偽造攻擊。 跨網站要求偽造攻擊可以將來自已驗證用戶的惡意要求傳送至您的 ASP.NET Core MVC 控制器。 |
| CA5392:針對 P/Invokes 使用 DefaultDllImportSearchPaths 屬性 | 根據預設,P/Invoke 函式會使用 DllImportAttribute 探查多個目錄,包括要載入庫的目前工作目錄。 這可以是特定應用程式的安全性問題,導致 DLL 劫持。 |
| CA5393:請勿使用不安全的 DllImportSearchPath 值 | 預設 DLL 搜尋目錄和元件目錄中可能有惡意 DLL。 或者,視應用程式執行所在的位置而定,應用程式目錄中可能有惡意 DLL。 |
| CA5394:請勿使用不安全的隨機性 | 使用密碼編譯弱式虛擬隨機數產生器,可能會讓攻擊者預測將產生哪些安全性敏感性值。 |
| CA5395:動作方法缺少 HttpVerb 屬性 | 所有用於建立、編輯、刪除或其他修改資料的動作方法,都必須使用防止跨網站請求偽造攻擊的防偽屬性來保護。 執行 GET 作業應該是沒有副作用且不會修改保存資料的安全作業。 |
| CA5396:針對 HttpCookie 將 HttpOnly 設定為 true | 作為深度防禦措施,請確保安全敏感的 HTTP Cookie 標示為 HttpOnly。 這表示網頁瀏覽器應該不允許腳本存取 Cookie。 插入的惡意腳本是竊取 Cookie 的常見方式。 |
| CA5397:請勿使用已被取代的 SslProtocols 值 | 傳輸層安全性 (TLS) 可保護電腦之間的通訊,最常使用超文本傳輸通訊協定安全 (HTTPS)。 較舊的 TLS 通訊協定版本比 TLS 1.2 和 TLS 1.3 較不安全,而且更有可能有新的弱點。 避免較舊的通訊協定版本將風險降到最低。 |
| CA5398:避免硬式編碼的 SslProtocols 值 | 傳輸層安全性 (TLS) 可保護電腦之間的通訊,最常使用超文本傳輸通訊協定安全 (HTTPS)。 通訊協定版本 TLS 1.0 和 TLS 1.1 已被取代,而 TLS 1.2 和 TLS 1.3 是最新的。 未來,TLS 1.2 和 TLS 1.3 可能已被取代。 為了確保您的應用程式保持安全,請避免硬式編碼通訊協定版本。 |
| CA5399:確定停用 HttpClient 證書吊銷清單驗證 | 已撤銷的憑證不再受到信任。 攻擊者可以使用它傳遞某些惡意數據,或在 HTTPS 通訊中竊取敏感數據。 |
| CA5400:確保未禁用 HttpClient 證書吊銷清單檢查 | 已撤銷的憑證不再受到信任。 攻擊者可以使用它傳遞某些惡意數據,或在 HTTPS 通訊中竊取敏感數據。 |
| CA5401:請勿使用 CreateEncryptor 搭配非預設 IV | 對稱式加密應一律使用不可重複的初始化向量來防止字典攻擊。 |
| CA5402:搭配預設 IV 使用 CreateEncryptor | 對稱式加密應一律使用不可重複的初始化向量來防止字典攻擊。 |
| CA5403:不要硬編碼憑證 |
X509Certificate 或 X509Certificate2 建構函式的 data 或 rawData 參數會硬式編碼。 |
| CA5404:請勿停用令牌驗證檢查 |
TokenValidationParameters 用於權杖驗證的屬性不應該設定為 false。 |
| CA5405:請勿一律略過委派中的令牌驗證 | 指定給 AudienceValidator 或 LifetimeValidator 的回呼函數一律會傳回 true。 |
