Partilhar via

CA3003: Revise o código para vulnerabilidades de injeção de caminho de arquivo

Propriedade valor
ID da regra CA3003
Título Revise o código para vulnerabilidades de injeção de caminho de arquivo
Categoria Segurança
A correção causa interrupção ou não Ininterrupto
Habilitado por padrão no .NET 10 Não
Línguas aplicáveis C# e Visual Basic

Motivo

A entrada de solicitação HTTP potencialmente não confiável atinge o caminho de uma operação de arquivo.

Por padrão, essa regra analisa toda a base de código, mas isso é configurável.

Descrição da regra

Ao trabalhar com entradas não confiáveis de solicitações da Web, esteja atento ao uso de entradas controladas pelo usuário ao especificar caminhos para arquivos. Um invasor pode ser capaz de ler um arquivo não intencional, resultando na divulgação de informações de dados confidenciais. Ou, um invasor pode ser capaz de gravar em um arquivo não intencional, resultando na modificação não autorizada de dados confidenciais ou comprometendo a segurança do servidor. Uma técnica comum de ataque é Path Traversal para aceder a ficheiros fora do diretório previsto.

Esta regra tenta identificar entradas de solicitações HTTP que chegam a um caminho dentro de uma operação de ficheiro.

Nota

Esta regra não pode rastrear dados entre assemblies. Por exemplo, se um assembly lê a entrada de pedido HTTP e, em seguida, a passa para outro assembly que grava em ficheiro, essa regra não gerará um aviso.

Nota

Há um limite configurável para a profundidade com que essa regra analisará o fluxo de dados entre chamadas de método. Consulte Configuração do Analyzer para saber como configurar o limite em um arquivo EditorConfig.

Como corrigir violações

  • Se possível, limite os caminhos de arquivo com base na entrada do usuário a uma lista segura explicitamente conhecida. Por exemplo, se o seu aplicativo só precisa acessar "red.txt", "green.txt" ou "blue.txt", permita apenas esses valores.
  • Verifique se há nomes de arquivos não confiáveis e valide se o nome está bem formado.
  • Use nomes completos de caminhos ao especificar caminhos.
  • Evite construções potencialmente perigosas, como variáveis de ambiente de caminho.
  • Só aceite nomes de ficheiros longos e valide nomes longos se o utilizador enviar nomes curtos.
  • Restrinja a entrada do usuário final a caracteres válidos.
  • Rejeitar nomes cujo comprimento de MAX_PATH é excedido.
  • Manipule nomes de arquivos literalmente, sem interpretação.
  • Determine se o nome do arquivo representa um arquivo ou um dispositivo.

Quando suprimir avisos

Se você validou a entrada conforme descrito na seção anterior, não há problema em suprimir esse aviso.

Configurar código para análise

Use as opções a seguir para configurar em quais partes da base de código executar essa regra.

Você pode configurar essas opções apenas para esta regra, para todas as regras às quais elas se aplicam ou para todas as regras nesta categoria (Security) às quais elas se aplicam. Para obter mais informações, consulte Opções de configuração da regra de qualidade de código.

Excluir símbolos específicos

Você pode excluir símbolos específicos, como tipos e métodos, da análise definindo a opção excluded_symbol_names. Por exemplo, para especificar que a regra não deve ser executada em nenhum código dentro de tipos nomeados MyType, adicione o seguinte par chave-valor a um arquivo .editorconfig em seu projeto:

dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType

Nota

Substitua a parte XXXX do CAXXXX pelo ID da regra aplicável.

Formatos de nome de símbolo permitidos no valor da opção (separados por |):

  • Somente nome do símbolo (inclui todos os símbolos com o nome, independentemente do tipo ou namespace que o contém).
  • Nomes totalmente qualificados no formato de ID de documentação do símbolo. Cada nome de símbolo requer um prefixo de tipo de símbolo, como M: para métodos, T: para tipos e N: para namespaces.
  • .ctor para construtores e .cctor para construtores estáticos.

Exemplos:

Valor da opção Resumo
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType Corresponde a todos os símbolos denominados MyType.
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 Corresponde a todos os símbolos denominados MyType1 ou MyType2.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) Combina o método MyMethod específico com a assinatura totalmente qualificada especificada.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) Correlaciona métodos MyMethod1 e MyMethod2 específicos com as respetivas assinaturas totalmente qualificadas.

Excluir tipos específicos e seus tipos derivados

Você pode excluir tipos específicos e seus tipos derivados da análise definindo a opção excluded_type_names_with_derived_types. Por exemplo, para especificar que a regra não deve ser executada em nenhum método dentro de tipos nomeados MyType e seus tipos derivados, adicione o seguinte par chave-valor a um arquivo .editorconfig em seu projeto:

dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType

Nota

Substitua a parte XXXX do CAXXXX pelo ID da regra aplicável.

Formatos de nome de símbolo permitidos no valor da opção (separados por |):

  • Somente nome do tipo (inclui todos os tipos com o nome, independentemente do tipo ou namespace que o contém).
  • Nomes totalmente qualificados no formato de ID de documentação do símbolo, com um prefixo opcional T:.

Exemplos:

Valor da opção Resumo
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType Corresponde a todos os tipos nomeados MyType e todos os seus tipos derivados.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 Corresponde a todos os tipos nomeados como MyType1 ou MyType2, e todos os seus tipos derivados.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType Corresponde a um tipo MyType específico com um determinado nome totalmente qualificado e todos os seus tipos derivados.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 Correlaciona tipos MyType1 e MyType2 específicos com os respetivos nomes totalmente qualificados e todos os seus tipos derivados.

Exemplos de pseudocódigo

Violação

using System;
using System.IO;

public partial class WebForm : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        string userInput = Request.Params["UserInput"];
        // Assume the following directory structure:
        //   wwwroot\currentWebDirectory\user1.txt
        //   wwwroot\currentWebDirectory\user2.txt
        //   wwwroot\secret\allsecrets.txt
        // There is nothing wrong if the user inputs:
        //   user1.txt
        // However, if the user input is:
        //   ..\secret\allsecrets.txt
        // Then an attacker can now see all the secrets.

        // Avoid this:
        using (File.Open(userInput, FileMode.Open))
        {
            // Read a file with the name supplied by user
            // Input through request's query string and display
            // The content to the webpage.
        }
    }
}

Imports System
Imports System.IO

Partial Public Class WebForm
    Inherits System.Web.UI.Page

    Protected Sub Page_Load(sender As Object, e As EventArgs)
        Dim userInput As String = Me.Request.Params("UserInput")
        ' Assume the following directory structure:
        '   wwwroot\currentWebDirectory\user1.txt
        '   wwwroot\currentWebDirectory\user2.txt
        '   wwwroot\secret\allsecrets.txt
        ' There is nothing wrong if the user inputs:
        '   user1.txt
        ' However, if the user input is:
        '   ..\secret\allsecrets.txt
        ' Then an attacker can now see all the secrets.

        ' Avoid this:
        Using File.Open(userInput, FileMode.Open)
            ' Read a file with the name supplied by user
            ' Input through request's query string and display
            ' The content to the webpage.
        End Using
    End Sub
End Class
  • Last updated on