Form innspill i form av informasjon systemsikkerhet utgjør en " lov banen, " det er, er dataene ikke er blokkert. Det er lov til serveren. Fordi brukerne kan lagre, redigere og deretter sende HTML-sider fra sin maskin, er det mulig å passere falske og uventede verdier til serveren via disse " skjult " skjemafelt. Skjemaer som bruker skjulte felt for å sende autentiseringsinformasjon, for eksempel, kan gi en angriper med en måte å få uautorisert adgang. Det samme gjelder når cookies brukes til å lagre informasjon som de er like sårbare for klientsiden modifisering. Ved hjelp av skjulte skjemafelt for å opprettholde staten er risikabelt også, fordi økten informasjonen ikke er helt skjult og gir derfor en angriper å kapre økter.
Mer informasjon
Lær hvordan unvalidate webprogram innspill som fungerer og hva programmerere kan gjøre for å sikre webapplikasjoner.
Hold session tokens bak lås og slå.
Besøk denne ressurssenter og lære hvordan du kan redusere risikoen for applikasjonsangrep.
en måte rundt problemet med skjulte skjemafelt er å kryptere de skjulte verdier i en form og dekryptere dem når det kreves av et skript eller database drift. Men den beste måten å midlertidig lagre informasjon som kreves av ulike former er ved hjelp av en session cookie som brukes for å få tilgang til en server-side opprettholdt session verdier eller en database som lagrer midlertidige verdier under brukerens besøk på nettstedet ditt.
Enten du bruker skjulte skjemafelt eller ikke, hvis nettstedet bruker input fra et skjema for å bygge SQL-setninger for å sende til en database eller som variabler innenfor et CGI-skript, du må ikke anta at inngangs er gyldig eller ikke-skadelig . Det finnes en rekke angrep der brukerundersøkelser kan brukes til å få tilgang til en webserver hvis inngangsdata ikke er validert før de behandles enten ved mottak eller på publikasjonen. Dette betyr at alle brukerundersøkelser data må sjekkes før de sendes videre til en annen prosess. Hvis noen innspill informasjonen blir brukt til å bygge en webside eller hentes fra en database eller en annen kilde, må det kontrolleres før det er publisert på websiden. Feilsjekkene og filtre på alle slike data vil sikre at eventuelle feilaktige data er fjernet og angrep som SQL-injeksjon kan forpurret.