Durante la lettura di ASVS 3.0.1 mi sono imbattuto nel requisito V5.18:
Verify that client side validation is used as a second line of defense, in addition to server side validation.
Umm ... la convalida sul lato client non dice di non avere alcun vantaggio di sicurezza?
Voglio dire, come funzione di comodità per avvisare gli utenti di input indesiderati, sì, ma come requisito di sicurezza? Ho perso qualcosa?
Va bene allora, le risposte alla mia domanda sulla mailing list ASVS fanno luce sul problema. Personalmente trovo che i seguenti due siano gli argomenti più forti:
Sebbene la convalida lato client possa essere ignorata, aiuta a rilevare gli attacchi. Supponiamo ad esempio che vi sia un campo di input la cui lunghezza sia limitata a 10 cifre. Se si suppone che questo sia convalidato lato client e l'applicazione riceva qualcosa di più lungo o una stringa contenente non cifre, allora è (in senso confuso) chiaro che qualcosa sta succedendo.
Applicazioni con un sacco di JavaScript che modifica il DOM in cui il server non vede mai effettivamente alcuni degli input che richiede questo. Mi sono reso conto solo allora che ASVS non ha una sezione dedicata sui test lato client (come ha la Guida al test).
Sì, la validazione lato client può essere aggirata banalmente. Tuttavia, sta aggiungendo un po 'di sicurezza e riducendo al minimo il rischio totale, anche se in minima parte.
Essere in grado di avvisare (1) direttamente dal mio browser, al contrario di usare un proxy / estensione è un vantaggio per l'attaccante.
Ecco un esempio: pensa a un thin client interno bloccato e bloccato, dove l'unica cosa che puoi usare è un browser (non puoi disabilitare javascript). Se non esiste alcuna convalida sul lato client, posso sfruttare quello SQLi che risiede nel DB di produzione manualmente.
Leggi altre domande sui tag validation client-side asvs