Temat: Prośba o wyjasnienie kilku kwestii

Dzień Dobry Wszystkim,

Aktualnie przeglądam standard Owasp Application Security Verification Standard 2.0 Beta

https://www.owasp.org/index.php/Category:OWASP_Applicat...

w rozdziale V4: w kolumnie "Input Validation Verification Requirement" są m.in. następujące punkty:

V4.6 Verify that all input validation failures result in input rejection or input
sanitization.
V4.7 Verify that all input validation or encoding routines are performed and
enforced on the server side.
V4.8
Verify that all untrusted data that are output to HTML (including HTML
elements, HTML attributes, JavaScript data values, CSS blocks, and URI
attributes) are properly escaped for the applicable context.

Mam pytanie - jak można wspomniane wymagania zweryfikować?
do V4.6 przychodzi mi na myśl celowe umieszczenie złych danych i sprawdzenie np. Tamper Data czy innym snifferze czy te dane są potem przesyłane dalej, czy nie, a jeżeli są przesyłane dalej, to czy zostały "sanitized".

natomiast do punktów 4.7 oraz 4.8 nie mam pojęcia.
Czy ktoś może mi coś zasugerować?

Będę bardzo wdzięczny za pomoc.

Tomek

Temat: Prośba o wyjasnienie kilku kwestii

Ja to rozumiem tak, że:
V4.8 musisz weryfikować dane, które wyrzucasz na output aby w żaden sposób nikt Ci niczego nie przemycił, jakiegoś znacznika itp. Jak zrobisz np. walidację po stronie aplikacji np w js (sic!) dla danych wejściowych to potem może być problem przy drukowaniu tych danych.

V4.7 zdarza się, że dane mechanizmy działają dla danego kodowania, ale np zdarza się że zmieniająć kodowanie z utf8 na inne twoje mechanizmy mogę przestać działać.

Temat: Prośba o wyjasnienie kilku kwestii

V4.8:

Uściślając to co napisał poprzednik: chodzi o ochronę przed atakiem typu XSS. Jeżeli nie wiesz co to jest XSS i jak się przed nim bronić, znajdziesz na ten temat informacje w sieci.