Checkmarx | HttpClientFactory.CreateClient 造成 Checkmarx 狂噴 CSRF

問題

ASP.NET Core MVC 專案中的 WebAPI Controller 被 Checkmarx V9.4.5.1012 HF24 掃出一堆的 CSRF 問題。

分析

查看它的 Find_CSRF Rule 中,在過濾掉 Find_CSRF_Sanitize 結果後,
又再加入 Find_ASP_MVC_CSRF()
而在 Find_ASP_MVC_CSRF() 中又會去找一些可能跟 DB Update 相關的 Method,如下,

1
2
3
4
5
6
7
8
9
10
11
CxList dbUpdateMethods = methods.FindByShortNames(new List<string> {
		"SaveChanges", "SaveChangesAsync",
		"SubmitChanges", "TryUpdateModel",
		"TryUpdateModelAsync", "UpdateModel"
		}, true);

dbUpdateMethods.Add(methods.FindByShortNames(new List<string>(){
		"Set*", "Change*", "Update*", "Save*", "Apply*", "Create*", "Add*", "Delete*"
		}));
dbUpdateMethods.Add(methods.FindByMemberAccess("UserManager", "CreateAsync", true));
dbUpdateMethods -= All.FindByMemberAccesses(new string[]{"ModelState.AddModelError","List.Add"});

詢問同事 Jer 後,有可能是因為 keyword Create 找到了程式中的 HttpClientFactory.CreateClient 所以它就認為它有 CSRF 問題。
將原本用 HttpClientFactory.CreateClient 改成 new HttpClient() 後,
CSRF 的問題果然就不見了。

這個問題原廠的回覆如下,

After reviewing your case, we can confirm the issue is as you suspected. The engine is assuming that the “CreateClient()” method is a database access because it contains the keyword “create”, which is used to search for CSRF vulnerabilities in the code.

只能等待以色列原廠的修復了。

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw