3.12 验证来自客户端的输入

浏览 1194 扫码分享 2020-01-08 16:50:51

验证来自客户端的输入
- 详细描述
- 建议
- References
- CWE/OWASP

验证来自客户端的输入

详细描述

即使数据是从您的应用程序生成的，这些数据也可能被拦截和操纵。这可能包括导致应用程序崩溃（生成关键崩溃日志），缓冲区溢出，SQL注入和其他攻击的攻击。通过实现UITextFieldDelegate中的方法并利用上面的建议，这可以很容易地在iOS中执行。

建议

与正确的Web应用程序安全性一样，客户端的所有输入都必须被视为不受信任。服务必须彻底过滤和验证应用程序和用户的输入。适当的清理包括在发送之前和接收期间的所有用户输入。

References

iOS
https://developer.apple.com/library/ios/documentation/uikit/reference/UITextFieldDelegate_Protocol/UITextFieldDelegate/UITextFieldDelegate.html
Android - Content Provider Injection Case of Study -
https://viaforensics.com/mobile-security/ebay-android-content-provider-injection-vulnerability.html

CWE/OWASP

M8 - Security Decisions via Untrusted Inputs
CWE 79, 89, 120

本文使用 EduBoo.COM 构建

展开/收起文章目录