È possibile filtrare l'input dell'utente sul lato del browser per prevenire l'iniezione?

Naviga le tue risposte
0

Ho studiato i problemi più comuni relativi all'iniezione. È possibile incorporare un meccanismo di filtraggio per evitare il lato client dell'iniezione? Ad esempio, controllare l'URL della barra degli indirizzi per i parametri aggiunti malevoli o controllare i moduli di input dell'utente all'invio.
Non sto chiedendo se questa misura sia efficace al 100% o necessaria o meno. Voglio sapere se questo è tecnicamente possibile e fattibile.

    
posta hate 10.06.2014 - 17:34
fonte

2 risposte

4

Sì, è possibile aggiungere qualcosa di simile sul lato client, ma non sarebbe efficace. Non sprecherò il tuo tempo ad aggiungere questo tipo di protezione al tuo cliente. Dal momento che è sul lato client, un utente malintenzionato può (e lo farà) bypassarlo immediatamente usando un proxy HTTP o qualcosa di simile.

Vorrei raccomandare di leggere il libro Manuale del pirata informatico per le applicazioni Web . Questo spiega in dettaglio come un utente malintenzionato attaccherà il tuo sito e ti indicherà strumenti gratuiti che ti permetteranno di attaccare un sito di test che controlli nello stesso modo di un hacker. Effettivamente questo ti aprirà gli occhi su come funziona davvero la sicurezza web.

    
risposta data 10.06.2014 - 17:39
fonte
0

Ci sono due errori:

  • In caso di un attacco di iniezione contro il server, il client stesso è l'attaccante. In altre parole, stai chiedendo all'attaccante di impedire il loro stesso attacco. Questo ovviamente non ha senso. Anche se la persona che utilizza il browser è effettivamente dalla tua parte e ha perso il controllo del browser (a causa di XSS, CSRF o qualsiasi altra cosa), è sicuro presumere che il client salvi tutte le azioni di sicurezza che chiedi per.

  • Sembra che ci sia una sorta di procedura unica per tutti per rendere magicamente l'input "sicuro". Ma gli attacchi per iniezione dipendono esattamente dal contesto . Stiamo parlando di iniezione HTML? SQL Injection? Iniezione di guscio? Ognuno di questi lavori differisce e richiede diversi modi di protezione. L'unico modo valido per gestirlo è preparare il lato dati server per ogni specifico contesto.

risposta data 10.06.2014 - 18:55
fonte

Leggi altre domande sui tag

Il mio gestore di rete GSM può identificare il nome del punto di accesso Wi-Fi a cui sono connesso? Quali conseguenze potrebbe esserci per l'uso continuato di un sistema operativo senza aggiornamento?