安全技术研究-输入合法性验证

介绍

执行输入验证来测试用户输入的正确性对于维护用户体验和应用程序安全至关重要。

不幸的是，如果开发人员偷工减料或根本不知道相关的最佳实践，他们可能最终会在后端部署不充分的验证，这是粗劣的编程和通过将信任置于服务器之外打开了潜在的妥协之门。例如，服务器端验证不足意味着用户可以随心所欲地更改客户端大小的页面和脚本的数据和代码流……

影响及危害

尽管有关于如何充分实现后端验证控制的现成的、明确的、最新的指导方针，但这个漏洞无处不在，其影响范围从简单的外观更改导致数据泄露到更严重的身份验证绕过，导致价值数亿美元的损失。

如何防护

必须对所有输入强制执行权威验证服务器端验证检查。

在包含客户端检查功能的环境中，“客户端”在安全性中没有一席之地。

在web应用程序中，Javascript代码实际上可以用来执行权威检查，但仅仅是为了在初始阶段通知用户而不需要和服务器通讯，例如，表单验证。