2020-02-05

Februari 2020 - OWASP Proactive C5: Validate all inputs

Validering av indata säkerställer att endast korrekt formatterad data tillåts in i applikationen.

Syntaktisk validering - Data är i den form som förväntas. Ex. förväntas en fyrsiffrigt värde så ska det kontrolleras att värdet faktiskt är fyra siffror.
Semantisk validering - Data har ett värde som förväntas för den funktion och kontext som avses. Ex. att ett startdatum är före ett slutdatum när man väljer datum eller att ett siffervärde är inom tillåtna värden.

Metoder för att validera
Whitelisting - Tillåt endast vissa värden, ex. giltiga landskoder enligt en lista.
Blacklisting - Förbjud vissa värden, ex. <SCRIPT>-taggar.

Validering måste ske på serversidan då det är lätt att kringgå validering på klientsidan. På klientsidan ska man gärna också validera indata, men det handlar mer om att hjälpa användaren och att förhindra onödiga requester till servern.



Nyheter för månaden:
  • Senaste uppdateringarna gjorda.