Partager via


CA3009 : Passez en revue le code pour détecter les vulnérabilités de l’injection XML

Propriété Value
Identificateur de la règle CA3009
Titre Passez en revue le code pour détecter les vulnérabilités de l’injection XML
Catégorie Sécurité
Le correctif est cassant ou non cassant Sans rupture
Activé par défaut dans .NET 8 Non

Cause

Une entrée de requête HTTP potentiellement non approuvée atteint la sortie XML brute.

Par défaut, cette règle analyse l’intégralité du codebase, mais elle est configurable.

Description de la règle

Lorsque vous travaillez avec une entrée non approuvée, n’oubliez pas les attaques par injection XPath. Un attaquant peut utiliser l’injection de code XML pour insérer, dans un document XML, des caractères spéciaux (rendant ainsi le document XML non valide) ou les nœuds XML de son choix, à des fins malveillantes.

Cette règle tente de trouver des entrées de requêtes HTTP qui atteignent une écriture XML brute.

Notes

Cette règle ne peut pas suivre les données entre les assemblys. Par exemple, elle ne génère pas d’avertissement si un assembly lit l’entrée de requête HTTP, puis la transmet à un autre assembly qui écrit du code XML brut.

Notes

Il existe une limite configurable quant à la profondeur de l’analyse du flux de données entre les appels de méthode. Pour savoir comment configurer la limite dans un fichier EditorConfig, consultez Configuration de l’analyseur.

Comment corriger les violations

Pour corriger une violation, utilisez l’une des techniques suivantes :

  • N’écrivez pas de code XML brut. Utilisez plutôt des méthodes ou des propriétés qui encodent leur entrée en XML.
  • Encoder l’entrée XML avant d’écrire du code XML brut.
  • Validez les entrées utilisateur en utilisant des assainisseurs pour la conversion de type primitif et l’encodage XML.

Quand supprimer les avertissements

Ne supprimez pas les avertissements de cette règle.

Exemples en pseudo-code

Violation

Dans cet exemple, l’entrée est définie sur la InnerXml propriété de l’élément racine. Étant donné que l’entrée contient du code XML valide, un utilisateur malveillant peut modifier complètement le document. Notez que alice n’est plus un utilisateur autorisé après l’ajout de l’entrée utilisateur au document.

protected void Page_Load(object sender, EventArgs e)
{
    XmlDocument d = new XmlDocument();
    XmlElement root = d.CreateElement("root");
    d.AppendChild(root);

    XmlElement allowedUser = d.CreateElement("allowedUser");
    root.AppendChild(allowedUser);
    allowedUser.InnerXml = "alice";

    string input = Request.Form["in"];
    root.InnerXml = input;
}
Sub Page_Load(sender As Object, e As EventArgs)
    Dim d As XmlDocument = New XmlDocument()
    Dim root As XmlElement = d.CreateElement("root")
    d.AppendChild(root)

    Dim allowedUser As XmlElement = d.CreateElement("allowedUser")
    root.AppendChild(allowedUser)
    allowedUser.InnerXml = "alice"

    Dim input As String = Request.Form("in")
    root.InnerXml = input
End Sub

Si un attaquant utilise ceci pour l’entrée : some text<allowedUser>oscar</allowedUser>, le document XML sera :

<root>some text<allowedUser>oscar</allowedUser>
</root>

Solution

Pour corriger cette violation, définissez l’entrée sur la InnerText propriété de l’élément racine au lieu de la InnerXml propriété .

protected void Page_Load(object sender, EventArgs e)
{
    XmlDocument d = new XmlDocument();
    XmlElement root = d.CreateElement("root");
    d.AppendChild(root);

    XmlElement allowedUser = d.CreateElement("allowedUser");
    root.AppendChild(allowedUser);
    allowedUser.InnerText = "alice";

    string input = Request.Form["in"];
    root.InnerText = input;
}
Sub Page_Load(sender As Object, e As EventArgs)
    Dim d As XmlDocument = New XmlDocument()
    Dim root As XmlElement = d.CreateElement("root")
    d.AppendChild(root)

    Dim allowedUser As XmlElement = d.CreateElement("allowedUser")
    root.AppendChild(allowedUser)
    allowedUser.InnerText = "alice"

    Dim input As String = Request.Form("in")
    root.InnerText = input
End Sub

Si un attaquant utilise ceci pour l’entrée : some text<allowedUser>oscar</allowedUser>, le document XML sera :

<root>some text&lt;allowedUser&gt;oscar&lt;/allowedUser&gt;
<allowedUser>alice</allowedUser>
</root>

Configurer le code à analyser

Utilisez l’option suivante pour configurer les parties de votre codebase sur lesquelles exécuter cette règle.

Vous pouvez configurer ces options pour cette règle uniquement, pour toutes les règles auxquelles elles s’appliquent ou pour toutes les règles de cette catégorie (Sécurité) auxquelles elles s’appliquent. Pour plus d’informations, consultez Options de configuration des règles de qualité du code.

Exclure des symboles spécifiques

Vous pouvez exclure de l’analyse des symboles spécifiques, comme des types et des méthodes. Par exemple, pour spécifier que la règle ne doit pas s’exécuter sur du code dans des types nommés MyType, ajoutez la paire clé-valeur suivante à un fichier .editorconfig dans votre projet :

dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType

Formats de nom de symbole autorisés dans la valeur d’option (séparés par |) :

  • Nom du symbole uniquement (inclut tous les symboles avec le nom, quel que soit le type ou l’espace de noms qui les contient).
  • Noms qualifiés complets au format d’ID de documentation du symbole. Chaque nom de symbole nécessite un préfixe de type symbole, comme M: pour les méthodes, T: pour les types et N: pour les espaces de noms.
  • .ctor pour les constructeurs et .cctor pour les constructeurs statiques.

Exemples :

Valeur d’option Récapitulatif
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType Correspond à tous les symboles nommés MyType.
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 Correspond à tous les symboles nommés MyType1 ou MyType2.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) Correspond à une méthode MyMethod spécifique avec la signature complète spécifiée.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) Correspond à des méthodes MyMethod1 et MyMethod2 spécifiques avec la signature complète spécifiée.

Exclure des types spécifiques et leurs types dérivés

Vous pouvez exclure de l’analyse des types spécifiques et leurs types dérivés. Par exemple, pour spécifier que la règle ne doit s’exécuter sur aucune méthode dans des types nommés MyType et leurs types dérivés, ajoutez la paire clé-valeur suivante à un fichier .editorconfig dans votre projet :

dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType

Formats de nom de symbole autorisés dans la valeur d’option (séparés par |) :

  • Nom du type uniquement (inclut tous les types avec le nom, quel que soit le type ou l’espace de noms qui les contient).
  • Noms qualifiés complets au format d’ID de documentation du symbole, avec un préfixe T: facultatif.

Exemples :

Valeur d’option Récapitulatif
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType Correspond à tous les types nommés MyType et à tous leurs types dérivés.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 Correspond à tous les types nommés MyType1 ou MyType2, et à tous leurs types dérivés.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType Correspond à un type MyType spécifique avec un nom complet donné et tous ses types dérivés.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 Correspond à des types MyType1 ou MyType2 spécifiques avec leur nom complet respectif et tous leurs types dérivés.