Abuse Melding

Je hebt een klacht over de onderstaande posting:

11-11-2015, 23:32 door karma4

Door Erik van Straten: De kwetsbaarheid hier is dat user-input wordt geïnterpreteerd voordat deze is gevalideerd; tijdens deserialisation kan er al code worden uitgevoerd. M.a.w. wat hier ontbreekt is valideren (UK:sanitisation /US:sanitization) van user input. Wat je zegt is: https://www.owasp.org/index.php/Data_Validation niet juist zou zijn. Dat lijkt in eerste instantie het geval, maar is onjuist. Libraries kunnen nou eenmaal functies bevatten die trusted input verwachten, omdat ze anders niet kunnen functioneren en/of te traag zijn. Het argument van te traag of niet kunnen werken mag nooit een argument zijn om het dan meer op de verkeerde onveilige manier te doen. Echte security begint als een onderdeel in het fundament/basis. Niet iets wat je achteraf wel bekijkt.

Beschrijf je klacht (Optioneel):

captcha