次の方法で共有


CA2356:Web の逆シリアル化されたオブジェクト グラフの安全でない DataSet または DataTable 型

プロパティ
ルール ID CA2356
Title Web の逆シリアル化されたオブジェクト グラフの安全でない DataSet または DataTable 型
[カテゴリ] Security
修正が中断か中断なしであるか なし
.NET 9 では既定で有効 いいえ

原因

System.Web.Services.WebMethodAttribute または System.ServiceModel.OperationContractAttribute を持つメソッドに、DataSet または DataTable を参照する可能性があるパラメーターがあります。

この規則では、CA2355: 逆シリアル化されたオブジェクト グラフの安全でない DataSet または DataTable と同様の規則に対して別のアプローチを使用し、異なる警告を検出します。

規則の説明

信頼されていない入力を逆シリアル化し、逆シリアル化されたオブジェクト グラフに DataSet または DataTable が含まれている場合、攻撃者が悪意のあるペイロードを作成して、サービス拒否攻撃を仕掛ける可能性があります。 リモート コード実行の不明な脆弱性が存在する可能性があります。

詳細については、「DataSet と DataTable のセキュリティ ガイダンス」を参照してください。

違反の修正方法

  • 可能であれば、DataSet および DataTable ではなく、Entity Framework を使用します。
  • シリアル化されたデータを改ざん防止にします。 シリアル化後に、シリアル化されたデータに暗号化署名します。 逆シリアル化する前に、暗号化署名を検証します。 暗号化キーの開示を防止し、キーのローテーションを設計します。

どのようなときに警告を抑制するか

次の場合は、このルールの警告を抑制できます。

  • 入力が信頼されていることがわかっている。 アプリケーションの信頼境界とデータ フローは時間の経過と共に変わる可能性があることを考慮する。
  • 違反を修正する方法のいずれかの予防措置を講じた。

警告を抑制する

単一の違反を抑制するだけの場合は、ソース ファイルにプリプロセッサ ディレクティブを追加して無効にしてから、規則をもう一度有効にします。

#pragma warning disable CA2356
// The code that's violating the rule is on this line.
#pragma warning restore CA2356

ファイル、フォルダー、またはプロジェクトの規則を無効にするには、構成ファイルでその重要度を none に設定します。

[*.{cs,vb}]
dotnet_diagnostic.CA2356.severity = none

詳細については、「コード分析の警告を抑制する方法」を参照してください。

疑似コードの例

違反

using System;
using System.Data;
using System.Web.Services;

[WebService(Namespace = "http://contoso.example.com/")]
public class MyService : WebService
{
    [WebMethod]
    public string MyWebMethod(DataTable dataTable)
    {
        return null;
    }
}

CA2350:DataTable.ReadXml() の入力が信頼されていることを確認してください

CA2351:DataSet.ReadXml() の入力が信頼されていることを確認してください

CA2352: シリアル化可能な型の安全でない DataSet または DataTable は、リモート コード実行攻撃に対して脆弱になる可能性があります

CA2353: シリアル化可能な型の安全でない DataSet または DataTable

CA2354:逆シリアル化されたオブジェクト グラフの安全でない DataSet または DataTable は、リモート コード実行攻撃に対して脆弱になる可能性があります

CA2355:逆シリアル化されたオブジェクト グラフの安全でない DataSet または DataTable

CA2361: DataSet.ReadXml() の入力が信頼されていることを確認してください

CA2362: シリアル化可能な自動生成型の安全でない DataSet または DataTable は、リモート コード実行攻撃に対して脆弱になる可能性があります