Cwe common Weakness Enumeration



Yüklə 444 b.
tarix29.11.2017
ölçüsü444 b.


CWE

  • Common

  • Weakness

  • Enumeration


CWE-20: Improper Input Validation

  • Un programa no valida correctamente la entrada de datos

  • Un atacante puede “crear” entradas específicas que:

    • Afecten el flujo de control y/o datos
    • Ejecución arbitraria de código
    • Control arbitrario de algún recurso
  • Es el error más común que ocasiona software con debilidades



CWE-20: Improper Input Validation



Soluciones

  • Si esperas números.....asegúrate de que la entrada de los usuarios sean números!

  • Usar Struts

  • Usar ESAPI de OWASP

  • Suponer que toda entrada es maliciosa, usar “whitelist”, no solamente “blacklist”

  • Validar por: longitud, tipo, sintaxis, y “reglas del negocio” (“lógica del negocio”)

  • Verificar en cliente ..... y en servidor!



Ejemplo



Ejemplo



Ejemplo



Ejemplo



Ejemplo




Yüklə 444 b.

Dostları ilə paylaş:




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©muhaz.org 2020
rəhbərliyinə müraciət

    Ana səhifə