Cómo codificar para "Establecer y mantener el control sobre todas sus salidas"

2

Estaba buscando en esta lista (25 problemas de seguridad principales):

  • https://cwe.mitre.org/top25/index.html#Listing

Eso me llevó a esta lista:

  • https://cwe.mitre.org/top25/index.html#Mitigations

Eso me llevó a preguntarme cómo podemos codificar para M2: establecer y mantener el control de todas sus salidas

Entiendo M1 , ¿validación de entrada pero validación de salida? ¿Cómo hacemos eso?

¿Esto significa, por ejemplo, que en una API REST deberíamos validar los objetos de respuesta que enviamos? Si es así, ¿qué deberíamos hacer si falla la validación? ¿No respondes?

Probablemente me esté perdiendo el punto aquí. Gracias por la ayuda. ¿Puede alguien proporcionar un ejemplo de código (pseudo-código)?

    
pregunta Vetras 23.08.2016 - 13:45
fuente

1 respuesta

-1

Simplemente significa que no solo debe verificar sus Entradas (codificación, inyección sql, xss, etc.) sino que también debe validar y verificar sus salidas (de nuevo, por ejemplo, XSS), de modo que si sus mecanismos de seguridad de entrada fallan y / o sus el servidor envía "basura" (los códigos de error de PHP presentados al usuario final, por ejemplo) todavía está en el lado seguro.

Por ejemplo, si tiene una aplicación web como Twitter, no solo debe hacer cumplir los controles de seguridad de las entradas de los usuarios (sus tweets) sino también de la salida de su servidor a los usuarios (los tweets de otros que ven) para que Si su control de entrada falló, el control de salida todavía reconoce que algo salió mal / es una posible amenaza

En mi humilde opinión, su propio enlace lo explica todo muy bien:

respondido por el Martin Fischer 23.08.2016 - 13:55
fuente

Lea otras preguntas en las etiquetas