Attacco da falsificazione dei dati
La maggior parte degli attacchi di applicazioni web consistono nel sollecitare il sito con i dati inseriti manualmente per provocare un contesto non previsto.Il protocollo HTTP, supporto della comunicazione sul web, permette di veicolare dei parametri sotto forma di richieste in modi diversi: cookie, moduli, URL, Intestazione HTTP.
È essenziale capire che tutti questi modi di trasmissione dati possono essere manipolati senza alcun problema da un utente e, di conseguenza, non devono essere considerati affidabili. In questa maniera, è possibile basare la sicurezza su dei controlli realizzati da parte del cliente (valori proposti da un modulo HTML o da codici Javascript che verifichino l'esattezza dei dati).
Inoltre, il fatto di stabilire una connessione SSL non protegge in nessun modo contro la manipolazione dei dati trasmessi, essa non fa che certificare la confidenzialità del trasporto dell'informazione tra l'utente ed il sito web. Così ogni programmatore di applicazioni web deve necessariamente effettuare un controllo dei dati, sia rispetto al loro valore (minimo e massimo per un dato numerico, controllo dei caratteri per una stringa), sia al tipo e alla lunghezza.
Foto: © Martial Red – Shutterstock.com
Il documento intitolato « Attacco da falsificazione dei dati » dal sito CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.