A maior parte dos ataques de aplicações web consiste em solicitar o site com dados introduzidos manualmente a fim de provocar um contexto não previsto.
Parâmetros das aplicações web
O protocolo HTTP, apoio da comunicação na web, permite veicular parâmetros sob formas de pedidos de várias maneiras:
- Cookies;
- Campos de formulários;
- URL;
- Rubricas HTTP.
É essencial compreender que todos os meios de transmissão de dados podem ser manipulados sem problema por um utilizador e que, por conseguinte, os dados utilizadores não devem ser considerados como fiáveis. Desta maneira, é impossível basear a segurança em controlos realizado por parte do cliente (valores propostos por um formulário HTML ou códigos Javascript que verificam a exactidão dos dados).
Além disso, o estabelecimento de uma conexão SSL não protege em nada contra a manipulação dos dados transmitidos, apenas certifica a confidencialidade do transporte da informação entre o utilizador final e o site web.
Assim, qualquer projectista de aplicação web deve necessariamente efectuar um controlo dos dados, tanto sobre o seu valor (mínimo e máximo para um dado numérico, controlo dos caracteres), como sobre o seu tipo e o seu comprimento.
