Condividi tramite


CA2362: L'oggetto DataSet o DataTable non sicuro nel tipo serializzabile generato automaticamente può essere vulnerabile ad attacchi di tipo esecuzione di codice remoto

Proprietà valore
ID regola CA2362
Title L'oggetto DataSet o DataTable non sicuro nel tipo serializzabile generato automaticamente può essere vulnerabile ad attacchi di tipo esecuzione di codice remoto
Categoria Sicurezza
La correzione causa un'interruzione o meno Non causa un'interruzione
Abilitato per impostazione predefinita in .NET 9 No

Causa

Una classe o uno struct contrassegnato con SerializableAttribute contiene un campo o DataTable una DataSet proprietà e dispone di un oggetto DesignerCategoryAttribute.

CA2352 è una regola simile, per quando non è presente un oggetto DesignerCategoryAttribute.

Descrizione regola

Quando si deserializzare l'input non attendibile con BinaryFormatter e l'oggetto grafico deserializzato contiene un DataSet oggetto o DataTable, un utente malintenzionato può creare un payload dannoso per eseguire un attacco di esecuzione del codice remoto.

Questa regola è simile a CA2352, ma per il codice generato automaticamente per una rappresentazione in memoria dei dati all'interno di un'applicazione GUI. In genere, queste classi generate automaticamente non vengono deserializzate dall'input non attendibile. L'utilizzo dell'applicazione può variare.

Questa regola trova tipi non sicuri durante la deserializzazione. Se il codice non deserializza i tipi trovati, non si dispone di una vulnerabilità di deserializzazione.

Per altre informazioni, vedere Linee guida per la sicurezza di DataSet e DataTable.

Come correggere le violazioni

  • Se possibile, usare Entity Framework anziché DataSet e DataTable.
  • Rendere i dati serializzati a prova di manomissione. Dopo la serializzazione, firmare in modo crittografico i dati serializzati. Prima della deserializzazione, convalidare la firma crittografica. Proteggere la chiave crittografica dalla divulgazione e dalla progettazione per le rotazioni delle chiavi.

Quando eliminare gli avvisi

È possibile eliminare un avviso da questa regola se:

  • Il tipo trovato da questa regola non viene mai deserializzato, direttamente o indirettamente.
  • Si sa che l'input è attendibile. Si consideri che i limiti di attendibilità e i flussi di dati dell'applicazione possono cambiare nel tempo.
  • È stata presa una delle precauzioni riportate in Come correggere le violazioni.

Eliminare un avviso

Se si vuole eliminare una singola violazione, aggiungere direttive del preprocessore al file di origine per disabilitare e quindi riabilitare la regola.

#pragma warning disable CA2362
// The code that's violating the rule is on this line.
#pragma warning restore CA2362

Per disabilitare la regola per un file, una cartella o un progetto, impostarne la gravità none su nel file di configurazione.

[*.{cs,vb}]
dotnet_diagnostic.CA2362.severity = none

Per altre informazioni, vedere Come eliminare gli avvisi di analisi del codice.

Esempi di pseudo-codice

Violazione

using System.Data;
using System.Xml.Serialization;

namespace ExampleNamespace
{
    [global::System.CodeDom.Compiler.GeneratedCode(""System.Data.Design.TypedDataSetGenerator"", ""2.0.0.0"")]
    [global::System.Serializable()]
    [global::System.ComponentModel.DesignerCategoryAttribute(""code"")]
    [global::System.ComponentModel.ToolboxItem(true)]
    [global::System.Xml.Serialization.XmlSchemaProviderAttribute(""GetTypedDataSetSchema"")]
    [global::System.Xml.Serialization.XmlRootAttribute(""Package"")]
    [global::System.ComponentModel.Design.HelpKeywordAttribute(""vs.data.DataSet"")]
    public class ExampleClass : global::System.Data.DataSet {
        private DataTable table;
    }
}

CA2350: Verificare che l'input di DataTable.ReadXml()sia attendibile

CA2351: Verificare che l'input di DataSet.ReadXml()sia attendibile

CA2352: Un elemento DataSet o DataTable non sicuro nel tipo serializzabile può essere vulnerabile agli attacchi di esecuzione di codice remoto

CA2353: Elemento DataSet o DataTable non sicuro in un tipo serializzabile

CA2354: Unsafe DataSet o DataTable nell'oggetto grafico deserializzato può essere vulnerabile all'attacco di esecuzione del codice remoto

CA2355: Unsafe DataSet o DataTable in un oggetto grafico deserializzato

CA2356: Unsafe DataSet o DataTable in web deserialized object graph

CA2362: L'oggetto DataSet o DataTable non sicuro nel tipo serializzabile generato automaticamente può essere vulnerabile ad attacchi di tipo esecuzione di codice remoto