Webové stránky a aplikácie často vyžadujú vstup používateľa, aby splnili svoj plný účel. Ak webová stránka umožňuje používateľom prihlásiť sa na odber, používatelia musia byť schopní poskytnúť svoju e-mailovú adresu. A online nakupovanie samozrejme vyžaduje zadanie platobných údajov.
Problém s používateľským vstupom je však v tom, že hackerovi tiež umožňuje zadať niečo škodlivé v snahe oklamať webovú stránku alebo aplikáciu, aby sa správala nesprávne. Na ochranu pred týmto musí mať každý systém, ktorý ponúka užívateľský vstup, validáciu vstupu.
Čo je teda validácia vstupu a ako funguje?
Čo je overenie vstupu?
Validácia vstupov je proces analýzy vstupov a zakázanie tých, ktoré sa považujú za nevhodné. Myšlienka validácie vstupu spočíva v tom, že povolením iba vstupov, ktoré spĺňajú špecifické kritériá, sa útočníkovi stáva nemožné zadať vstup, ktorý má spôsobiť poškodenie systému.
Overenie vstupu by sa malo používať na akejkoľvek webovej lokalite alebo aplikácii, ktorá umožňuje vstupy používateľov. Aj keď webová lokalita alebo aplikácia neuchováva žiadne dôverné informácie, povolenie neplatných vstupov môže tiež spôsobiť problémy s používateľskou skúsenosťou.
Prečo je overenie vstupu dôležité?
Overenie vstupu je dôležité z dvoch dôvodov, a to z hľadiska používateľskej skúsenosti a zabezpečenia.
Používateľská skúsenosť
Používatelia často zadávajú neplatné vstupy nie preto, že by sa pokúšali napadnúť webovú stránku alebo aplikáciu, ale preto, že urobili chybu. Používateľ môže nesprávne napísať slovo alebo poskytnúť nesprávne informácie, napríklad zadať svoje používateľské meno do nesprávneho poľa alebo vyskúšať zastarané heslo. Keď sa to stane, overenie vstupu možno použiť na informovanie používateľa o jeho chybe, čo mu umožní rýchlo ju opraviť.
Overenie vstupu tiež zabraňuje scenárom, v ktorých sa stratia registrácie a predaje, pretože používateľ nie je informovaný, a preto sa domnieva, že bol poskytnutý správny vstup, aj keď nie.
Bezpečnosť
Overenie vstupu zabraňuje širokému spektru útokov, ktoré možno vykonať proti webovej lokalite alebo aplikácii. Tieto kybernetické útoky môžu spôsobiť krádež osobných údajov, umožniť neoprávnený prístup k iným komponentom a/alebo zabrániť fungovaniu webovej stránky/aplikácie.
Vynechanie overenia vstupu je tiež ľahké odhaliť. Útočníci môžu pomocou automatických programov hromadne zadávať neplatné vstupy na webové stránky a určiť, ako webové stránky reagujú. Potom môžu spustiť manuálne útoky na akékoľvek webové stránky, ktoré nie sú chránené.
To znamená, že nedostatok validácie vstupov nie je len dôležitou zraniteľnosťou; je to zraniteľnosť, ktorá sa často nájde, a preto môže často spôsobiť hackovanie.
Čo sú útoky na overenie vstupu?
Útok na overenie vstupu je akýkoľvek útok, ktorý zahŕňa pridanie škodlivého vstupu do používateľského vstupného poľa. Existuje mnoho rôznych typov útokov na overenie vstupu, ktoré sa pokúšajú robiť rôzne veci.
Pretečenie vyrovnávacej pamäte
Pretečenie vyrovnávacej pamäte nastane, keď sa do systému pridá príliš veľa informácií. Ak sa nepoužije overenie vstupu, nič nebráni útočníkovi pridať toľko informácií, koľko chce. Toto sa nazýva a buffer overflow útok. Môže spôsobiť, že systém prestane fungovať a/alebo vymaže aktuálne uložené informácie.
SQL Injection
SQL injection je proces pridávania SQL dotazov do vstupných polí. Môže mať formu pridania dotazu SQL do webového formulára alebo pridania dotazu SQL k adrese URL. Cieľom je oklamať systém, aby vykonal dopyt. SQL injection je možné použiť na prístup k zabezpečeným údajom a na úpravu alebo vymazanie údajov. To znamená, že overenie vstupu je obzvlášť dôležité pre každú webovú stránku alebo aplikáciu, ktorá uchováva dôležité informácie.
Skriptovanie medzi stránkami
Skriptovanie medzi stránkami zahŕňa pridanie kódu do používateľských vstupných polí. Často sa to vykonáva pridaním kódu na koniec adresy URL patriacej renomovanej webovej stránke. Adresa URL môže byť zdieľaná prostredníctvom fór alebo sociálnych médií a kód sa potom spustí, keď na ňu obeť klikne. Tým sa vytvorí škodlivá webová stránka, ktorá sa zdá byť hosťovaná na renomovanej webovej lokalite.
Myšlienka je taká, že ak obeť dôveruje cieľovej webovej stránke, mala by dôverovať aj škodlivej webovej stránke, ktorá k nej zrejme patrí. Škodlivá webová stránka môže byť navrhnutá tak, aby ukradla stlačenia klávesov, presmerovala na iné stránky a/alebo začala automatické sťahovanie.
Ako implementovať validáciu vstupu
Implementácia overenia vstupu nie je náročná. Musíte jednoducho zistiť, aké pravidlá sú potrebné na zabránenie neplatnému vstupu a potom ich pridať do systému.
Zapíšte všetky vstupy údajov
Vytvorte zoznam všetkých možných používateľských vstupov. To bude vyžadovať, aby ste sa pozreli na všetky používateľské formuláre a zvážili iné typy vstupov, ako sú parametre adresy URL.
Vytvorte pravidlá
Keď budete mať zoznam všetkých vstupov údajov, mali by ste vytvoriť pravidlá, ktoré určia, aké vstupy sú prijateľné. Tu je niekoľko spoločných pravidiel na implementáciu.
- Biela listina: Umožňuje zadávať iba konkrétne znaky.
- Zakázanie: Zabráňte zadávaniu konkrétnych znakov.
- Formát: Povoliť iba vstupy, ktoré dodržiavajú konkrétny formát, t. j. povoliť iba e-mailové adresy.
- Dĺžka: Povoliť len vstupy do určitej dĺžky.
Implementovať pravidlá
Aby ste mohli implementovať pravidlá, budete musieť na webovú stránku alebo aplikáciu pridať kód, ktorý odmietne akýkoľvek vstup, ktorý ich nedodržiava. Kvôli hrozbe, ktorú predstavujú neplatné vstupy, by mal byť systém pred uvedením do prevádzky otestovaný.
Vytvorte odpovede
Za predpokladu, že chcete, aby overenie vstupu pomohlo aj používateľom, mali by ste pridať správy, ktoré vysvetľujú, prečo je vstup nesprávny a čo by sa namiesto toho malo pridať.
Overenie vstupu je požiadavka pre väčšinu systémov
Overenie vstupu je dôležitou požiadavkou pre každú webovú stránku alebo aplikáciu, ktorá umožňuje vstup používateľa. Bez kontroly nad tým, aký vstup sa pridáva do systému, má útočník celý rad techník, ktoré možno použiť na účely hackerstva.
Tieto techniky môžu zrútiť systém, zmeniť ho a/alebo umožniť prístup k súkromným informáciám. Systémy bez overovania vstupov sa stávajú obľúbeným cieľom hackerov a neustále sa po nich hľadá internet.
Aj keď sa overenie vstupu používa predovšetkým na bezpečnostné účely, zohráva dôležitú úlohu aj pri informovaní používateľov, keď niečo pridajú nesprávne.