Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
| Propriedade | valor |
|---|---|
| ID da regra | CA2353 |
| Título | DataSet ou DataTable não seguro em tipo serializável |
| Categoria | Segurança |
| A correção causa interrupção ou não | Ininterrupto |
| Habilitado por padrão no .NET 10 | Não |
| Línguas aplicáveis | C# e Visual Basic |
Motivo
Uma classe ou struct marcada com um atributo de serialização XML ou um atributo de contrato de dados contém um campo DataSet ou uma propriedade DataTable.
Os atributos de serialização XML incluem:
- XmlAnyAttributeAttribute
- XmlAnyElementAttribute
- XmlArrayAttribute
- XmlArrayItemAttribute
- XmlChoiceIdentifierAttribute
- XmlElementAttribute
- XmlEnumAttribute
- XmlIgnoreAttribute
- XmlIncludeAttribute
- XmlRootAttribute
- XmlTextAttribute
- XmlTypeAttribute
Os atributos de serialização do contrato de dados incluem:
Descrição da regra
Ao desserializar uma entrada não confiável e o grafo de objetos desserializado contiver um DataSet ou DataTable, um invasor pode criar uma carga mal-intencionada para executar um ataque de negação de serviço. Pode haver vulnerabilidades desconhecidas de execução remota de código.
Esta regra localiza tipos que são inseguros quando desserializados. Se o seu código não desserializar os tipos encontrados, então você não tem uma vulnerabilidade de desserialização.
Para obter mais informações, consulte Diretrizes de segurança DataSet e DataTable.
Como corrigir violações
- Se possível, use o Entity Framework em vez de DataSet e DataTable.
- Torne os dados serializados invioláveis. Após a serialização, assine criptograficamente os dados serializados. Antes da desserialização, valide a assinatura criptográfica. Proteja a chave criptográfica de ser divulgada e planeje para girações de chave.
Quando suprimir avisos
É seguro suprimir um aviso desta regra se:
- O tipo encontrado por esta regra nunca é desserializado, direta ou indiretamente.
- Você sabe que a entrada é confiável. Considere que o limite de confiança e os fluxos de dados do seu aplicativo podem mudar ao longo do tempo.
- Você tomou uma das precauções em Como corrigir violações.
Suprimir um aviso
Se você quiser apenas suprimir uma única violação, adicione diretivas de pré-processador ao seu arquivo de origem para desativar e, em seguida, reativar a regra.
#pragma warning disable CA2353
// The code that's violating the rule is on this line.
#pragma warning restore CA2353
Para desabilitar a regra de um arquivo, pasta ou projeto, defina sua gravidade como none no arquivo de configuração.
[*.{cs,vb}]
dotnet_diagnostic.CA2353.severity = none
Para obter mais informações, consulte Como suprimir avisos de análise de código.
Exemplos de pseudocódigo
Violação
using System.Data;
using System.Runtime.Serialization;
[XmlRoot]
public class MyClass
{
public DataSet MyDataSet { get; set; }
}
Regras conexas
CA2350: Verifique se a entrada de DataTable.ReadXml() é confiável
CA2351: Verifique se a entrada de DataSet.ReadXml() é confiável
CA2355: DataSet ou DataTable não seguro no gráfico de objeto desserializado
CA2356: DataSet ou DataTable não seguro no gráfico de objetos desserializados na Web
Colabore connosco no GitHub
A origem deste conteúdo pode ser encontrada no GitHub, onde também pode criar e rever problemas e pedidos Pull. Para mais informações, consulte o nosso guia do contribuidor.
