Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
| Propriedade | valor |
|---|---|
| ID da regra | CA2356 |
| Título | Tipo DataSet ou DataTable não seguro no gráfico de objeto desserializado da Web |
| Categoria | Segurança |
| A correção causa interrupção ou não | Ininterrupto |
| Habilitado por padrão no .NET 10 | Não |
| Línguas aplicáveis | C# e Visual Basic |
Motivo
Um método com um System.Web.Services.WebMethodAttribute ou System.ServiceModel.OperationContractAttribute tem um parâmetro que pode referenciar um DataSet ou um DataTable.
Esta regra usa uma abordagem diferente para uma regra semelhante, CA2355: DataSet ou DataTable Não Seguro em gráfico de objeto desserializado e encontrará avisos diferentes.
Descrição da regra
Ao desserializar uma entrada não confiável e o grafo de objetos desserializado contiver um DataSet ou DataTable, um invasor pode criar uma carga mal-intencionada para executar um ataque de negação de serviço. Pode haver vulnerabilidades desconhecidas de execução remota de código.
Para obter mais informações, consulte Diretrizes de segurança DataSet e DataTable.
Como corrigir violações
- Se possível, use o Entity Framework em vez de DataSet e DataTable.
- Torne os dados serializados invioláveis. Após a serialização, assine criptograficamente os dados serializados. Antes da desserialização, valide a assinatura criptográfica. Proteja a chave criptográfica de ser divulgada e planeje para girações de chave.
Quando suprimir avisos
É seguro suprimir um aviso desta regra se:
- Você sabe que a entrada é confiável. Considere que o limite de confiança e os fluxos de dados do seu aplicativo podem mudar ao longo do tempo.
- Você tomou uma das precauções em Como corrigir violações.
Suprimir um aviso
Se você quiser apenas suprimir uma única violação, adicione diretivas de pré-processador ao seu arquivo de origem para desativar e, em seguida, reativar a regra.
#pragma warning disable CA2356
// The code that's violating the rule is on this line.
#pragma warning restore CA2356
Para desabilitar a regra de um arquivo, pasta ou projeto, defina sua gravidade como none no arquivo de configuração.
[*.{cs,vb}]
dotnet_diagnostic.CA2356.severity = none
Para obter mais informações, consulte Como suprimir avisos de análise de código.
Exemplos de pseudocódigo
Violação
using System;
using System.Data;
using System.Web.Services;
[WebService(Namespace = "http://contoso.example.com/")]
public class MyService : WebService
{
[WebMethod]
public string MyWebMethod(DataTable dataTable)
{
return null;
}
}
Regras conexas
CA2350: Verifique se a entrada de DataTable.ReadXml() é confiável
CA2351: Verifique se a entrada de DataSet.ReadXml() é confiável
CA2353: DataSet ou DataTable inseguro no tipo serializável
CA2355: DataSet ou DataTable não seguro no gráfico de objeto desserializado
CA2361: Verifique se a entrada do DataSet.ReadXml() é confiável
Colabore connosco no GitHub
A origem deste conteúdo pode ser encontrada no GitHub, onde também pode criar e rever problemas e pedidos Pull. Para mais informações, consulte o nosso guia do contribuidor.
