Validace uživatelského vstupu

NUKIB / bezpecnostni-doporuceni-open-source

Bezpečnostní doporučení pro vývoj otevřeného software ve veřejné správě

53 stars 12 forks source link

Open MikkCZ opened 2 years ago

MikkCZ commented 2 years ago

Doporučil bych v dokumentu explicitně jako doporučení zmínit ošetřování uživatelských vstupů, a to z pohledu:

délku vstupů jako ochranu proti případným DoS a proti ztrátě dat nebo nečekaným výjimkám při ukládání do databáze z důvodu porušení typů apod.
ochrany proti útokům typu injection (SQL injection, XSS nebo jakékoliv jiné code injection)

MikkCZ commented 2 years ago

Validovány by měly být vlastně nejen uživatelské vstupy (ty hlavně), ale jakékoliv externí vstupy např. z dalších integrovaných systémů apod.

ondj commented 2 years ago

délku vstupů jako ochranu proti případným DoS a proti ztrátě dat nebo nečekaným výjimkám při ukládání do databáze z důvodu porušení typů apod.

Dává smysl, zapracujeme.

ochrany proti útokům typu injection (SQL injection, XSS nebo jakékoliv jiné code injection)

Útoky typu injection by měly být v aplikaci řešeny správným escapováním, nejlépe použitím takové knihovny, které tyto útoky automaticky ošetří.