Abuse Melding

Je hebt een klacht over de onderstaande posting:

12-11-2015, 08:13 door Erik van Straten

11-11-2015, 24:32 door karma4: Door Erik van Straten: De kwetsbaarheid hier is dat user-input wordt geïnterpreteerd voordat deze is gevalideerd; tijdens deserialisation kan er al code worden uitgevoerd. M.a.w. wat hier ontbreekt is valideren (UK:sanitisation /US:sanitization) van user input. Wat je zegt is: https://www.owasp.org/index.php/Data_Validation niet juist zou zijn. Integendeel, https://www.owasp.org/index.php/Data_Validation#Where_to_include_validation stelt "validation should be performed as per the function of the server executing the code". Leg eens uit wat jij onjuist vindt aan mijn statement? 11-11-2015, 24:32 door karma4: Dat lijkt in eerste instantie het geval, maar is onjuist. Libraries kunnen nou eenmaal functies bevatten die trusted input verwachten, omdat ze anders niet kunnen functioneren en/of te traag zijn. Het argument van te traag of niet kunnen werken mag nooit een argument zijn om het dan meer op de verkeerde onveilige manier te doen. Echte security begint als een onderdeel ...

Beschrijf je klacht (Optioneel):

captcha