Веб локације и апликације често захтевају кориснички унос како би испуниле своју пуну сврху. Ако веб локација дозвољава корисницима да се претплате, корисници морају бити у могућности да наведу своју адресу е-поште. А онлајн куповина очигледно захтева унос података о плаћању.
Проблем са корисничким уносом, међутим, је у томе што такође омогућава хакеру да унесе нешто злонамерно у покушају да превари веб локацију или апликацију да се лоше понаша. Да би се заштитио од овога, сваки систем који нуди кориснички унос мора да има валидацију уноса.
Дакле, шта је валидација уноса и како функционише?
Шта је валидација уноса?
Валидација уноса је процес анализе улаза и онемогућавања оних који се сматрају неприкладним. Идеја која стоји иза валидације уноса је да дозвољавањем само улаза који испуњавају одређене критеријуме, постаје немогуће да нападач уђе у улаз дизајниран да нанесе штету систему.
Валидацију уноса треба користити на било којој веб локацији или апликацији која дозвољава уносе корисника. Чак и ако веб локација или апликација не чувају никакве поверљиве информације, дозвољавање неважећих уноса такође може изазвати проблеме са корисничким искуством.
Зашто је валидација уноса важна?
Валидација уноса је важна из два разлога, а то су корисничко искуство и безбедност.
Корисничко искуство
Корисници често уносе неважеће уносе, не зато што покушавају да нападну веб локацију или апликацију, већ зато што су направили грешку. Корисник може погрешно написати реч или дати погрешне информације, као што је уношење корисничког имена у погрешно поље или покушај застареле лозинке. Када се то догоди, валидација уноса се може користити да обавести корисника о њиховој грешци, омогућавајући им да је брзо исправе.
Валидација уноса такође спречава сценарије у којима се губи регистрација и продаја јер корисник није обавештен и тако верује да је дат тачан унос када није.
Безбедност
Валидација уноса спречава широк спектар напада који се могу извршити на веб локацију или апликацију. Ови сајбер напади могу изазвати крађу личних података, омогућити неовлашћени приступ другим компонентама и/или спречити функционисање веб странице/апликације.
Изостављање валидације уноса је такође лако открити. Нападачи могу да користе аутоматизоване програме за масовно уношење неважећих уноса на веб локацијама и утврђивање како веб локације реагују. Затим могу покренути ручне нападе на било коју веб локацију која није заштићена.
То значи да недостатак валидације уноса није само важна рањивост; то је рањивост која ће се често наћи и тако често може да изазове хакове.
Шта су напади валидације уноса?
Напад валидације уноса је сваки напад који укључује додавање злонамерног уноса у поље за унос корисника. Постоји много различитих типова напада валидације уноса који покушавају да ураде различите ствари.
Буффер Оверфлов
До преливања бафера долази када се систему дода превише информација. Ако се валидација уноса не користи, ништа не спречава нападача да дода онолико информација колико жели. Ово се зове а напад прекорачења бафера. То може проузроковати да систем престане да функционише и/или избрише информације које су тренутно ускладиштене.
СКЛ Ињецтион
СКЛ ињекција је процес додавања СКЛ упита у поља за унос. Може бити у облику додавања СКЛ упита веб обрасцу или додавања СКЛ упита УРЛ-у. Циљ је да се систем превари да изврши упит. СКЛ ињекција се може користити за приступ сигурним подацима и за измену или брисање података. То значи да је валидација уноса посебно важна за било коју веб локацију или апликацију која чува важне информације.
Цросс-Сите Сцриптинг
Скриптовање на више локација укључује додавање кода у поља за унос корисника. Често се спроводи додавањем кода на крај УРЛ-а који припада угледној веб локацији. УРЛ се може делити преко форума или друштвених медија, а код се затим извршава када жртва кликне на њега. Ово ствара злонамерну веб страницу за коју се чини да је хостована на реномираној веб локацији.
Идеја је да ако жртва верује циљној веб страници, она такође треба да верује и злонамерној веб страници за коју се чини да јој припада. Злонамерна веб страница може бити дизајнирана да украде притисак на тастере, преусмери на друге странице и/или започне аутоматска преузимања.
Како применити валидацију уноса
Валидацију уноса није тешко имплементирати. Само треба да схватите која су правила потребна да бисте спречили неважећи унос, а затим да их додате у систем.
Запишите све уносе података
Направите листу свих могућих корисничких уноса. Ово ће захтевати да погледате све корисничке обрасце и размотрите друге типове уноса као што су параметри УРЛ-а.
Креирајте правила
Када имате листу свих уноса података, требало би да креирате правила која диктирају који су улази прихватљиви. Ево неколико уобичајених правила која треба применити.
- Бела листа: Дозволите унос само одређених знакова.
- Црна листа: Спречите унос одређених знакова.
- Формат: Дозволите само уносе који се придржавају одређеног формата, тј. дозвољавају само адресе е-поште.
- Дужина: Дозвољава само уносе до одређене дужине.
Имплементирати правила
Да бисте применили правила, мораћете да додате код на веб локацију или апликацију која одбија сваки унос који их не прати. Због претње коју представљају неважећи уноси, систем треба тестирати пре него што се покрене.
Креирајте одговоре
Под претпоставком да желите да валидација уноса такође помогне корисницима, требало би да додате поруке које објашњавају зашто је унос нетачан и шта треба додати уместо тога.
Валидација уноса је услов за већину система
Валидација уноса је важан захтев за било коју веб локацију или апликацију која омогућава унос корисника. Без контроле над уносом који се додаје систему, нападач има низ техника које се могу користити у сврхе хаковања.
Ове технике могу срушити систем, изменити га и/или омогућити приступ приватним информацијама. Системи без валидације уноса постају популарне мете хакера и интернет се стално тражи за њима.
Док се валидација уноса првенствено користи у безбедносне сврхе, она такође игра важну улогу у обавештавању корисника када додају нешто погрешно.
