如何解决Checkmarx扫描报告的“不可信数据反序列化”错误
如何解决Checkmarx扫描报告的“不可信数据反序列化”错误
提问于 2022-02-15 16:43:40
我已经集成了Checkmarx扫描工具与Azure DevOps管道。在运行ASP.Net Core相关管道后,我将获得高风险的结果。我尝试过多种方法并运行管道。现在仍然没有运气。你能帮我解决这个问题吗?
C#代码:
Uri requestUri = new Uri("https://webapi.com/token");
HttpContent httpContent = new StringContent(System.Text.Json.JsonSerializer.Serialize(new { access_token = accessToken }), Encoding.UTF8, "application/json");
var result = await client.PostAsync(requestUri, httpContent);
if (result != null && result.IsSuccessStatusCode)
{
var content = await result.Content.ReadAsStreamAsync();
var authResponse = await System.Text.Json.JsonSerializer.DeserializeAsync<TokenResponse>(content);
var authToken = authResponse.AuthenticationToken;
}TokenResponse.cs:
class TokenResponse
{
public string AuthenticationToken { get; set; }
}错误消息:
在第42行的文件中异步处理的序列化对象PostAsync被DeserializeAsync反序列化在第46.
行的文件中。
回答 1
Stack Overflow用户
回答已采纳
发布于 2022-02-16 03:36:48
Checkmarx不承认JsonSerializer是一个安全的反序列化器。您必须覆盖Checkmarx查询,才能将JsonSerializer作为使用Checkmarx CxAudit的消毒液之一,或者如果您没有CxAudit,则必须与您的AppSec团队争论,根据System.Text.Json威胁模型,应该将其标记为不可利用:
缓减
默认情况下,System.Type实例的序列化和反序列化在JsonSerializer中不支持。可以实现自定义转换器来处理System.Type实例,但要注意避免处理不受信任的数据。
https://github.com/dotnet/runtime/blob/main/src/libraries/System.Text.Json/docs/ThreatModel.md
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/71130212
复制相关文章
相似问题
腾讯云开发者
