No, la autenticación no es un control de compensación suficiente por falta de verificación de validez de entrada.
No puede siempre generalmente alguna vez confiar en las entradas de los usuarios y otros sistemas (y también recomiendo que no confíe en las entradas de su propio sistema). Como ejemplo, he tenido aproximadamente 5 instancias en los últimos tres meses en las que el sistema de un usuario de confianza actuó como un conducto involuntario para un escaneo o ataque. En un caso, su sistema estaba metiendo cuidadosamente la información maliciosa de un tercero en un XML válido (apropiado para el esquema) y lo reenvía bajo sus credenciales. ¡Ups!
Es posible que no sepa qué esperar del contenido válido de los datos, pero debería poder ver tanto la estructura de los datos como no es válido. contenido de los datos.
Estructura : si se trata de un número de teléfono, código postal, SSN u otros datos estructurados, puede realizar una verificación de sintaxis para asegurarse de que se ajuste al patrón apropiado.
Contenido no válido : si se trata de texto no estructurado, puede validar el tamaño y puede buscar y citar los metacaracteres que se usan a menudo para abusar de analizadores y procesadores (',;, (), {} , & amp ;, < & gt ;, etc.). Esta es una tarea difícil de realizar de forma integral, por lo que ha surgido el mercado del Firewall de aplicaciones web - descarga el escaneo de contenido de cadenas maliciosas a una herramienta especializada que puede centrarse en la tarea.