CA2315：请勿使用不安全的反序列化程序 ObjectStateFormatter

值

规则 ID

CA2315

类别

安全性

修复是中断修复还是非中断修复

非中断

原因

调用或引用了 System.Web.UI.ObjectStateFormatter 反序列化方法。

规则说明

反序列化不受信任的数据时，不安全的反序列化程序易受攻击。 攻击者可能会修改序列化数据，使其包含非预期类型，进而注入具有不良副作用的对象。 例如，针对不安全反序列化程序的攻击可以在基础操作系统上执行命令，通过网络进行通信，或删除文件。

此规则会查找 System.Web.UI.ObjectStateFormatter 反序列化方法调用或引用。

如何解决冲突

如果可能，请改用安全的序列化程序，并且不允许攻击者指定要反序列化的任意类型。 一些更安全的序列化程序包括：

System.Runtime.Serialization.DataContractSerializer

System.Runtime.Serialization.Json.DataContractJsonSerializer

System.Web.Script.Serialization.JavaScriptSerializer - 请勿使用 System.Web.Script.Serialization.SimpleTypeResolver。 如果必须使用类型解析程序，请将反序列化的类型限制为预期列表。

System.Xml.Serialization.XmlSerializer

Newtonsoft Json.NET - 使用 TypeNameHandling.None。 如果必须为 TypeNameHandling 使用其他值，请将反序列化的类型限制为具有自定义 ISerializationBinder 的预期列表。

协议缓冲区

使序列化的数据免被篡改。 序列化后，对序列化的数据进行加密签名。 在反序列化之前，验证加密签名。 保护加密密钥不被泄露，并针对密钥轮换进行设计。

何时禁止显示警告

在以下情况下，禁止显示此规则的警告是安全的：

已知输入受到信任。 考虑到应用程序的信任边界和数据流可能会随时间发生变化。

已采取了如何修复冲突的某项预防措施。

伪代码示例

冲突

using System.IO;

using System.Web.UI;

public class ExampleClass

{

public object MyDeserialize(byte[] bytes)

{

ObjectStateFormatter formatter = new ObjectStateFormatter();

return formatter.Deserialize(new MemoryStream(bytes));

}

}

Imports System.IO

Imports System.Web.UI

Public Class ExampleClass

Public Function MyDeserialize(bytes As Byte()) As Object

Dim formatter As ObjectStateFormatter = New ObjectStateFormatter()

Return formatter.Deserialize(New MemoryStream(bytes))

End Function

End Class