Po co robić input sanitization?

Odpowiedz Nowy wątek
2019-06-11 21:01
1

Od zawsze chyba wszystkie tutoriale, książki, kursy itd. o tym trąbiły, a właściwie po co robić sanityzować dane z wejścia?

Doszedłem do wniosku, że niewiele to daje i chciałbym się skonsultować :D

edytowany 4x, ostatnio: WeiXiao, 2019-06-11 21:46

Pozostało 580 znaków

2019-06-12 20:25
0

Można tworzyć różne mechanizmy które np. mierzą czas wykonania zapytania i

a) logują

b) powyżej jakiegoś threshold banują usera.

A można też zrobić input sanitization. - aurel 2019-06-13 09:40
Więc ktoś wynajmie botnetwork i odpali ten sam request ze wszystkich maszyn na raz. Pozdro 500 z banowaniem. - hauleth 2019-06-13 11:50

Pozostało 580 znaków

2019-06-13 09:49
1
WeiXiao napisał(a):

Można tworzyć różne mechanizmy które np. mierzą czas wykonania zapytania i

a) logują

b) powyżej jakiegoś threshold banują usera.

Piszesz tak jakbyś nigdy włamu na swoją stronę nie doświadczył.


Szacuje się, że w Polsce brakuje 50 tys. programistów
Może @WeiXiao nie doświadczył. - Silv 2019-06-13 17:14

Pozostało 580 znaków

2019-06-13 10:19
1
WeiXiao napisał(a):

Można tworzyć różne mechanizmy które np. mierzą czas wykonania zapytania i

a) logują

b) powyżej jakiegoś threshold banują usera.

A co to da w sytuacji, gdy ktoś już narobi dziadostwa? Zbanować możesz, ale jak już ktoś zdąży wywrócić Ci bazę i udławić serwer to takim wymierzaniem sprawiedliwości szkód nie naprawisz :P


Prosząc o pomoc w wiadomości prywatnej odbierasz sobie szansę na otrzymanie pomocy od kogoś bardziej kompetentnego :)

Pozostało 580 znaków

2019-06-13 21:40
0

To ja wracam do mojego pytania z poprzedniej strony

Czy w każdym miejscu gdzie przychodzi wam jakiś input z zewnątrz robicie jakieś input.FirstName = Escape(input.FirstName)?

Czy może jakiś globalny filtr na każdy przesłany string?

Pozostało 580 znaków

2019-06-13 21:43
0

Ani jedno ani drugie, bo wszystko zależy jak będziesz tego używał. Bo w każdym przypadku sposób użycia będzie inny (a czasem nie musisz tego robić wcale bo np. używasz prepared statement i masz same "bezpieczne" zapytania).

Pozostało 580 znaków

2019-06-13 21:48
0

Warto też zerknąć na: https://sekurak.pl/czym-jest-xss/


Mnie ciekawi jak będzie wyglądało bezpieczeństwo aplikacji webowych* w erze WASM+PWA ;) - WeiXiao 2019-06-13 21:58
@WeiXiao: tak samo jak do tej pory. - hauleth 2019-06-13 22:18
@hauleth: yy źle napisałem, chodziło o bezpieczeństwo usera, bo chyba dllki będą pobierane i zapisywane, czy nie? - WeiXiao 2019-06-13 22:20
Nie, bo to nie są DLLki i dalej są odpalane w sandboksie przeglądarki. Traktuj to jako alternatywną reprezentację dla kodu JS. - hauleth 2019-06-13 22:22

Pozostało 580 znaków

Odpowiedz
Liczba odpowiedzi na stronę

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0