twitterlinkedinmail

Come gestire in sicurezza i dati di input mediante la normalizzazione e la data sanitization

Indice degli argomenti:

  • Normalizzazione delle stringhe e dei percorsi file

  • Encodings dei files e Network I/O

  • Sanitization delle Regular Expressions

  • Verifica dei valori ritornati dai metodi

  • Verifica dei tipi numerici e degli operatori

Normalizzazione delle stringhe

Molte applicazioni che accettano stringhe di input non attendibili utilizzano meccanismi di convalida basati sui caratteri delle stringhe.

Ad esempio, la strategia di un’applicazione per evitare le vulnerabilità di cross-site scripting (XSS) può includere il divieto di tag <script> negli input.

Tali meccanismi di blacklist sono una parte utile di una strategia di sicurezza, anche se non sono sufficienti per la completa convalida e sanificazione degli input.

Una volta implementata, questa forma di convalida deve essere eseguita solo dopo aver normalizzato l’input.

La forma di normalizzazione più adatta per eseguire la convalida dell’input su stringhe codificate arbitrariamente è KC (NFKC) perché la normalizzazione in KC trasforma l’input in una forma canonica equivalente che può essere tranquillamente confrontata con la forma di input richiesta.

L’esempio che segue tenta di convalidare la stringa prima di eseguire la normalizzazione.

Continua la lettura

Accedi ai Contenuti Riservati
Accedi ai Contenuti Riservati

    Sottoscrivi la Newsletter per accedere
    in anteprima ai contenuti: