CA5369: Seri Durumdan Çıkarmak için XmlReader Kullanma
Özellik | Değer |
---|---|
Kural Kimliği | CA5369 |
Başlık | Seri durumdan çıkarma için XmlReader kullanma |
Kategori | Güvenlik |
Hataya neden olan veya bozulmayan düzeltme | Hataya neden olmayan |
.NET 9'da varsayılan olarak etkin | Hayır |
Neden
Nesne olmadan XmlSerializer.Deserialize örneklenmiş güvenilir olmayan XML girişinin XmlReader
seri durumdan çıkarılması hizmet reddine, bilgilerin açığa çıkmasına ve sunucu tarafı istek sahteciliği saldırılarına yol açabilir. Bu saldırılar, XML bombalarının ve kötü amaçlı dış varlıkların XML'ye eklenmesini sağlayan güvenilmeyen DTD ve XML şeması işleme tarafından etkinleştirilir. Yalnızca ile DTD'yi XmlReader
devre dışı bırakmak mümkündür. .NET Framework sürüm 4.0 ve sonraki sürümlerinde ve XmlReader
özelliği varsayılan olarak olarak ayarlanmış ProhibitDtd
olduğu gibi ProcessInlineSchema
false
satır içi XML şeması işleme. , Stream
ve TextReader
gibi XmlSerializationReader
diğer seçenekler DTD işlemeyi devre dışı bırakamaz.
Kural açıklaması
Güvenilmeyen DTD ve XML şemalarının işlenmesi tehlikeli dış başvuruların yüklenmesine olanak tanıyabilir. Bu, güvenli bir çözümleyici ile veya DTD ve XML satır içi şema işleme devre dışı bırakılarak kısıtlanmalıdır XmlReader
. Bu kural yöntemini kullanan XmlSerializer.Deserialize kodu algılar ve oluşturucu parametresi olarak almaz XmlReader
.
İhlalleri düzeltme
, , XmlSerializer.DeserializeDeserialize(XmlReader)veya Deserialize(XmlReader, String)dışındaki Deserialize(XmlReader, XmlDeserializationEvents)aşırı yüklemeleri kullanmayınDeserialize(XmlReader, String, XmlDeserializationEvents).
Uyarıların ne zaman bastırılması gerekiyor?
Ayrıştırılan XML güvenilir bir kaynaktan geliyorsa ve bu nedenle üzerinde oynanamazsa, bu uyarıyı potansiyel olarak gizleyebilirsiniz.
Uyarıyı gizleme
Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.
#pragma warning disable CA5369
// The code that's violating the rule is on this line.
#pragma warning restore CA5369
Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini none
olarak ayarlayın.
[*.{cs,vb}]
dotnet_diagnostic.CA5369.severity = none
Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.
Sahte kod örnekleri
Ihlal
Aşağıdaki sahte kod örneği, bu kural tarafından algılanan deseni gösterir.
İlk parametresinin XmlSerializer.Deserialize türü veya XmlReader
türetilmiş bir sınıf değildir.
using System.IO;
using System.Xml.Serialization;
...
new XmlSerializer(typeof(TestClass).Deserialize(new FileStream("filename", FileMode.Open));
Çözüm
using System.IO;
using System.Xml;
using System.Xml.Serialization;
...
new XmlSerializer(typeof(TestClass)).Deserialize(XmlReader.Create (new FileStream("filename", FileMode.Open)));