Estoy viendo un video de capacitación llamado "Creación de un código J2EE seguro". El video hace esta declaración:
Realice todas las validaciones en un contexto seguro en el servidor. No confiar En la validación del lado del cliente como un mecanismo de seguridad. Validar todo entrada de la aplicación, incluida la entrada del usuario, valores de retorno API, variables de entorno, archivos de configuración y otras aplicaciones.
Validar las variables de entorno y los archivos de configuración es un concepto nuevo para mí. ¿Puede por favor proporcionar una visión general de alto nivel de cómo podría ser esto?
Mi opinión es tratar las variables de entorno y los archivos de configuración de forma similar a la entrada del usuario. Yo lo haría:
- Desinfectalo,
- Longitud de prueba (mín. y máx.),
- Rango de prueba,
- formato de prueba
- Tipo de prueba (int, decimal, char, etc.)
Supongo que los archivos de configuración contendrán pares clave / valor. No estoy seguro de cómo manejar un archivo de configuración que pueda contener cualquier otro formato.
¿Estoy en el camino correcto?