CA2361: Memastikan kelas yang dihasilkan secara otomatis yang berisi DataSet.ReadXml() tidak digunakan dengan data yang tidak tepercaya

Artikel
11/12/2024

Properti	Nilai
ID Aturan	CA2361
Judul	Pastikan kelas yang dibuat secara otomatis yang berisi DataSet.ReadXml() tidak digunakan dengan data yang tidak tepercaya
Golongan	Keamanan
Perbaikan bersifat disruptif atau non-disruptif	Non-disruptif
Diaktifkan secara default di .NET 9	No

Penyebab

Metode DataSet.ReadXml ini dipanggil atau dirujuk, dan berada dalam kode yang dibuat secara otomatis.

Aturan ini mengklasifikasikan kode b yang dihasilkan secara otomatis:

Berada di dalam metode bernama ReadXmlSerializable.
Metode ReadXmlSerializable memiliki System.Diagnostics.DebuggerNonUserCodeAttribute.
Metode ReadXmlSerializable berada di dalam jenis yang memiliki System.ComponentModel.DesignerCategoryAttribute.

CA2351 adalah aturan serupa, saat DataSet.ReadXml muncul dalam kode yang tidak dibuat secara otomatis.

Deskripsi aturan

Saat mendeserialisasi DataSet dengan input yang tidak tepercaya, penyerang dapat membuat input berbahaya untuk melakukan penolakan serangan layanan. Mungkin ada kerentanan eksekusi kode jarak jauh yang tidak diketahui.

Aturan ini seperti CA2351, tetapi untuk kode yang dibuat secara otomatis untuk representasi data dalam memori dalam aplikasi GUI. Biasanya, kelas yang dibuat secara otomatis ini tidak dideserialisasi dari input yang tidak tepercaya. Penggunaan aplikasi Anda dapat bervariasi.

Untuk informasi selengkapnya, lihat Panduan keamanan Himpunan Data dan DataTable.

Cara memperbaiki pelanggaran

Jika memungkinkan, gunakan Kerangka kerja Entitas daripada DataSet.
Buat data yang diserialisasi agar tahan rusak. Setelah serialisasi, tanda tangani secara kriptografi data yang diserialisasi. Sebelum deserialisasi, validasi tanda tangan kriptografi. Lindungi kunci kriptografi agar tidak diungkapkan dan didesain untuk rotasi kunci.

Kapan harus menekan peringatan

Aman untuk menyembunyikan peringatan dari aturan ini jika:

Anda mengetahui bahwa input-nya tepercaya. Pertimbangkan bahwa batas kepercayaan dan aliran data aplikasi Anda dapat berubah dari waktu ke waktu.
Anda telah mengambil salah satu tindakan pencegahan dalam Cara memperbaiki pelanggaran.

Menyembunyikan peringatan

Jika Anda hanya ingin menyembunyikan satu pelanggaran, tambahkan arahan praprosedur ke file sumber Anda untuk dinonaktifkan lalu aktifkan kembali aturannya.

#pragma warning disable CA2361
// The code that's violating the rule is on this line.
#pragma warning restore CA2361

Untuk menonaktifkan aturan untuk file, folder, atau proyek, atur tingkat keparahannya ke none dalam file konfigurasi.

[*.{cs,vb}]
dotnet_diagnostic.CA2361.severity = none

Untuk informasi selengkapnya, lihat Cara menyembunyikan peringatan analisis kode.

Contoh kode semu

Pelanggaran

namespace ExampleNamespace
{
    /// <summary>
    ///Represents a strongly typed in-memory cache of data.
    ///</summary>
    [global::System.Serializable()]
    [global::System.ComponentModel.DesignerCategoryAttribute("code")]
    [global::System.ComponentModel.ToolboxItem(true)]
    [global::System.Xml.Serialization.XmlSchemaProviderAttribute("GetTypedDataSetSchema")]
    [global::System.Xml.Serialization.XmlRootAttribute("Package")]
    [global::System.ComponentModel.Design.HelpKeywordAttribute("vs.data.DataSet")]
    public partial class Something : global::System.Data.DataSet {

        [global::System.Diagnostics.DebuggerNonUserCodeAttribute()]
        [global::System.CodeDom.Compiler.GeneratedCodeAttribute("System.Data.Design.TypedDataSetGenerator", "4.0.0.0")]
        protected override void ReadXmlSerializable(global::System.Xml.XmlReader reader) {
            if ((this.DetermineSchemaSerializationMode(reader) == global::System.Data.SchemaSerializationMode.IncludeSchema)) {
                this.Reset();
                global::System.Data.DataSet ds = new global::System.Data.DataSet();
                ds.ReadXml(reader);
                if ((ds.Tables["Something"] != null)) {
                    base.Tables.Add(new SomethingTable(ds.Tables["Something"]));
                }
                this.DataSetName = ds.DataSetName;
                this.Prefix = ds.Prefix;
                this.Namespace = ds.Namespace;
                this.Locale = ds.Locale;
                this.CaseSensitive = ds.CaseSensitive;
                this.EnforceConstraints = ds.EnforceConstraints;
                this.Merge(ds, false, global::System.Data.MissingSchemaAction.Add);
                this.InitVars();
            }
            else {
                this.ReadXml(reader);
                this.InitVars();
            }
        }
    }
}

CA2350: Pastikan input DataTable.ReadXml() dipercaya

CA2351: Pastikan input DataSet.ReadXml() tepercaya

CA2352: DataSet atau DataTable yang tidak aman dalam jenis yang dapat diserialisasikan dapat rentan terhadap serangan eksekusi kode jarak jauh

CA2353: DataSet atau DataTable yang Tidak Aman dalam jenis yang dapat diserialisasikan

CA2354: DataSet atau DataTable yang Tidak Aman dalam grafik objek yang dideserialisasi dapat rentan terhadap serangan eksekusi kode jarak jauh

CA2355: DataSet atau DataTable yang tidak aman dalam grafik objek yang dideserialisasikan

CA2356: DataSet atau DataTable Tidak Aman dalam grafik objek yang dideserialisasi web

CA2362: DataSet atau DataTable yang Tidak Aman dalam jenis yang dapat diserialisasikan yang dapat dibuat secara otomatis dapat menjadi rentan terhadap serangan eksekusi kode jarak jauh