Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
| Propriedade | valor |
|---|---|
| ID da regra | CA3009 |
| Título | Revisar o código para vulnerabilidades de injeção de XML |
| Categoria | Segurança |
| A correção causa interrupção ou não | Ininterrupto |
| Habilitado por padrão no .NET 10 | Não |
| Línguas aplicáveis | C# e Visual Basic |
Motivo
A entrada de solicitação HTTP potencialmente não confiável alcança a saída XML bruta.
Por padrão, essa regra analisa toda a base de código, mas isso é configurável.
Descrição da regra
Ao trabalhar com entradas não confiáveis, esteja atento aos ataques de injeção de XML. Um invasor pode usar a injeção de XML para inserir caracteres especiais em um documento XML, tornando o documento XML inválido. Ou, um invasor pode inserir maliciosamente nós XML de sua escolha.
Esta regra tenta encontrar entradas de solicitações HTTP que chegam a uma gravação XML bruta.
Nota
Esta regra não pode rastrear dados entre assemblies. Por exemplo, se um assembly ler a entrada de solicitação HTTP e, em seguida, passá-la para outro assembly que escreve XML em bruto, essa regra não produzirá um aviso.
Nota
Há um limite configurável para a profundidade com que essa regra analisará o fluxo de dados entre chamadas de método. Consulte Configuração do Analyzer para saber como configurar o limite em um arquivo EditorConfig.
Como corrigir violações
Para corrigir uma violação, use uma das seguintes técnicas:
- Não escreva XML bruto. Em vez disso, use métodos ou propriedades que codificam XML sua entrada.
- Antes de escrever XML bruto, codifique o input em XML.
- Valide a entrada do utilizador utilizando sanitizadores para conversão de tipo primitivo e codificação XML.
Quando suprimir avisos
Não suprima avisos desta regra.
Exemplos de pseudocódigo
Violação
Neste exemplo, a entrada é definida como a InnerXml propriedade do elemento raiz. Dada a entrada que contém XML válido, um usuário mal-intencionado pode alterar completamente o documento. Observe que alice já não é um utilizador permitido depois de a entrada do utilizador ser adicionada ao documento.
protected void Page_Load(object sender, EventArgs e)
{
XmlDocument d = new XmlDocument();
XmlElement root = d.CreateElement("root");
d.AppendChild(root);
XmlElement allowedUser = d.CreateElement("allowedUser");
root.AppendChild(allowedUser);
allowedUser.InnerXml = "alice";
string input = Request.Form["in"];
root.InnerXml = input;
}
Sub Page_Load(sender As Object, e As EventArgs)
Dim d As XmlDocument = New XmlDocument()
Dim root As XmlElement = d.CreateElement("root")
d.AppendChild(root)
Dim allowedUser As XmlElement = d.CreateElement("allowedUser")
root.AppendChild(allowedUser)
allowedUser.InnerXml = "alice"
Dim input As String = Request.Form("in")
root.InnerXml = input
End Sub
Se um invasor usar isso para entrada: some text<allowedUser>oscar</allowedUser>, o documento XML será:
<root>some text<allowedUser>oscar</allowedUser>
</root>
Solução
Para corrigir essa violação, defina a entrada para a InnerText propriedade do elemento raiz em vez da InnerXml propriedade.
protected void Page_Load(object sender, EventArgs e)
{
XmlDocument d = new XmlDocument();
XmlElement root = d.CreateElement("root");
d.AppendChild(root);
XmlElement allowedUser = d.CreateElement("allowedUser");
root.AppendChild(allowedUser);
allowedUser.InnerText = "alice";
string input = Request.Form["in"];
root.InnerText = input;
}
Sub Page_Load(sender As Object, e As EventArgs)
Dim d As XmlDocument = New XmlDocument()
Dim root As XmlElement = d.CreateElement("root")
d.AppendChild(root)
Dim allowedUser As XmlElement = d.CreateElement("allowedUser")
root.AppendChild(allowedUser)
allowedUser.InnerText = "alice"
Dim input As String = Request.Form("in")
root.InnerText = input
End Sub
Se um invasor usar isso para entrada: some text<allowedUser>oscar</allowedUser>, o documento XML será:
<root>some text<allowedUser>oscar</allowedUser>
<allowedUser>alice</allowedUser>
</root>
Configurar código para análise
Use as opções a seguir para configurar em quais partes da base de código executar essa regra.
Você pode configurar essas opções apenas para esta regra, para todas as regras às quais elas se aplicam ou para todas as regras nesta categoria (Security) às quais elas se aplicam. Para obter mais informações, consulte Opções de configuração da regra de qualidade de código.
Excluir símbolos específicos
Você pode excluir símbolos específicos, como tipos e métodos, da análise definindo a opção excluded_symbol_names. Por exemplo, para especificar que a regra não deve ser executada em nenhum código dentro de tipos nomeados MyType, adicione o seguinte par chave-valor a um arquivo .editorconfig em seu projeto:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
Nota
Substitua a parte XXXX do CAXXXX pelo ID da regra aplicável.
Formatos de nome de símbolo permitidos no valor da opção (separados por |):
- Somente nome do símbolo (inclui todos os símbolos com o nome, independentemente do tipo ou namespace que o contém).
- Nomes totalmente qualificados no formato de ID de documentação do símbolo. Cada nome de símbolo requer um prefixo de tipo de símbolo, como
M:para métodos,T:para tipos eN:para namespaces. -
.ctorpara construtores e.cctorpara construtores estáticos.
Exemplos:
| Valor da opção | Resumo |
|---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
Corresponde a todos os símbolos denominados MyType. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
Corresponde a todos os símbolos denominados MyType1 ou MyType2. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
Combina o método MyMethod específico com a assinatura totalmente qualificada especificada. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
Correlaciona métodos MyMethod1 e MyMethod2 específicos com as respetivas assinaturas totalmente qualificadas. |
Excluir tipos específicos e seus tipos derivados
Você pode excluir tipos específicos e seus tipos derivados da análise definindo a opção excluded_type_names_with_derived_types. Por exemplo, para especificar que a regra não deve ser executada em nenhum método dentro de tipos nomeados MyType e seus tipos derivados, adicione o seguinte par chave-valor a um arquivo .editorconfig em seu projeto:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
Nota
Substitua a parte XXXX do CAXXXX pelo ID da regra aplicável.
Formatos de nome de símbolo permitidos no valor da opção (separados por |):
- Somente nome do tipo (inclui todos os tipos com o nome, independentemente do tipo ou namespace que o contém).
- Nomes totalmente qualificados no formato de ID de documentação do símbolo, com um prefixo opcional
T:.
Exemplos:
| Valor da opção | Resumo |
|---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
Corresponde a todos os tipos nomeados MyType e todos os seus tipos derivados. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
Corresponde a todos os tipos nomeados como MyType1 ou MyType2, e todos os seus tipos derivados. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
Corresponde a um tipo MyType específico com um determinado nome totalmente qualificado e todos os seus tipos derivados. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
Correlaciona tipos MyType1 e MyType2 específicos com os respetivos nomes totalmente qualificados e todos os seus tipos derivados. |
Colabore connosco no GitHub
A origem deste conteúdo pode ser encontrada no GitHub, onde também pode criar e rever problemas e pedidos Pull. Para mais informações, consulte o nosso guia do contribuidor.
