ESAPI: validazione di input e output [chiusa]

Question

ESAPI: validazione di input e output [chiusa]

#1 da (1 voti)

-3

Sono nuovo nella sicurezza IT e ho avuto il compito di presentare la convalida di input e output per ESAPI.

Quindi per la convalida dell'input, finora ho ottenuto:

Data Type   
Name          
Email           
Password        
Address                                       
Account Number      
Zip code                               
Comment         
CC Number   
Expiry Month    
Expiry Year 
CVN         
SSN

Ma non capisco come funzioni la validazione dell'output. Qualcuno potrebbe spiegarmelo con alcuni esempi?

java validation web-application appsec penetration-test

posta user28953 31.07.2013 - 22:12

fonte

1 risposta

Leggi altre domande sui tag java validation web-application appsec penetration-test

Quali sono alcune buone librerie di login / autenticazione utente o protocolli da utilizzare con Python su Google App Engine? [chiuso] Sono coperto con GPL Se voglio condividere il codice open source del progetto sviluppato nella mia azienda? [chiuso]

score 1 · Answer 1

Dovresti pensare alla codifica dell'output, piuttosto che alla convalida dell'output.

La codifica dell'output riguarda il corretto escape dei caratteri speciali in modo che appaiano correttamente all'utente, piuttosto che essere interpretati con il loro significato speciale.

Ad esempio se il tuo campo contiene One is < Two e lo stai mostrando su una pagina HTML, devi codificarlo come One is < Two . Per fare ciò con ESAPI, dovresti utilizzare il metodo encodeForHTML.

I caratteri che devi codificare e il modo di codificarli varia a seconda di dove stai utilizzando i dati.

Ad esempio, se si utilizza One is < Two come parte di un URL, anche gli spazi devono essere codificati e il segno minore diventa %3C e il risultato sarà One%20is%20%3C%20Two . Per fare ciò con ESAPI, dovresti utilizzare il metodo encodeForURL.