Ověření vstupu

9. června 2021 | Cybrary

Ověření vstupu, Ověřování dat, známé také jako validace dat, je testování jakéhokoli vstupu (nebo dat) poskytnutého uživatelem nebo aplikací podle očekávaných kritérií. Ověřování vstupu zabraňuje vstupu škodlivých nebo špatně kvalifikovaných dat do informačního systému. Aplikace by měly kontrolovat a ověřovat všechny vstupy zadané do systému, aby se zabránilo útokům a chybám. Ověřování vstupu je důležité také při přijímání dat od externích stran nebo zdrojů. Nesprávné ověření vstupu může umožnit... injekční útoky, únik paměti a v konečném důsledku kompromitovaný systém (systémy).

Validace vstupu může pro validaci použít dvě odlišné sady kritérií. Tato kritéria pro porovnání mohou být seznam povolených or seznam zamítnutýchOvěřování dat na seznamu povolených je vhodnější než ověřování dat na seznamu zakázaných. Seznam zakázaných se spoléhá na to, že IT pracovníci znají všechny existující útoky (co konkrétně zakázat) a mohou být použity proti vaší aplikaci nebo systému. Seznamy povolených se spoléhají na to, že IT pracovníci vědí, jaké příkazy a datové typy jsou povoleny nebo přijatelné, a povolí jim průchod jejich systémy (systémy odmítají VŠECHNA škodlivá data skenovaná filtry).

Nastavení seznamů povolených nebo zakázaných adres je velmi důležité pro silné zabezpečení do hloubky ve vašich systémech a aplikacích pro práci s daty.

Co to znamená pro malé a střední podniky?

Existují „útoky s validací vstupu“, kde hackeři úmyslně zadávají škodlivý vstup s úmyslem zmást, zhroutit nebo poškodit aplikaci. Výsledkem těchto akcí je způsobení neplánované akce, výpadku systému nebo dokonce vzdáleného přístupu. Škodlivý vstup může zahrnovat kód, skripty a příkazy, které, pokud nejsou správně ověřeny, mohou být použity ke zneužití zranitelností. Mezi nejběžnější útoky s validací vstupu patří Přetečení zásobníku, XSS útoky, a SQL injekce. Jedno OWASP Top 10 zmiňuje validaci vstupu jako strategii pro zmírnění jak SQL injection, tak XSS, ale neměla by být používána jako primární metoda prevence těchto útoků, i když při správné implementaci může výrazně snížit jejich dopad. Osoby pracující v oblasti zabezpečení aplikací by si měly být dobře vědomy těchto hrozeb i dalších 9 hrozeb uvedených v OWASP Top Ten.

CyberHoot zahrnuje školicí program pro vývojáře, který shrnuje 10 nejčastějších chyb, kterých se programátoři dopouštějí při vývoji aplikací.

Kromě toho, že vývojáři posílí zabezpečení vašich aplikací, existují kroky, které mohou všichni zaměstnanci ve vaší firmě podniknout, aby se snížila pravděpodobnost, že se stanou obětí kybernetického útoku:

Přijmout dvoufaktorová autentizace na všech kritických službách přístupných z internetu
Přijměte a Password Manager pro lepší hygienu osobních/pracovních hesel
Vyžadovat hesla o délce 14 a více znaků Zásady řízení
Postupujte podle Metoda zálohování 3-2-1 pro všechna kritická a citlivá data
Školit zaměstnance odhalit a vyhnout se e-mailovým Phishing Útoky
Zkontrolujte, zda zaměstnanci dokáže odhalit a vyhnout se phishingovým e-mailům jejich testováním
Dokumentace a test Plány pro zotavení po havárii zajištěné kontinuity podnikání (BCDR)
Proveďte posouzení rizik každé dva až tři roky