Websites en apps hebben vaak gebruikersinvoer nodig om hun volledige doel te bereiken. Als een website gebruikers toestaat zich te abonneren, moeten de gebruikers hun e-mailadres kunnen opgeven. En online winkelen vereist natuurlijk het invoeren van betalingsgegevens.
Het probleem met gebruikersinvoer is echter dat het een hacker ook in staat stelt iets kwaadaardigs in te voeren in een poging de website of app te misleiden tot misdragen. Om hiertegen te beschermen, moet elk systeem dat gebruikersinvoer biedt, invoervalidatie hebben.
Dus wat is invoervalidatie en hoe werkt het?
Wat is invoervalidatie?
Invoervalidatie is het proces van het analyseren van invoer en het niet toestaan van invoer die als ongeschikt wordt beschouwd. Het idee achter invoervalidatie is dat door alleen invoer toe te staan die aan specifieke criteria voldoet, het voor een aanvaller onmogelijk wordt om toegang te krijgen tot een invoer die bedoeld is om schade toe te brengen aan een systeem.
Invoervalidatie moet worden gebruikt op elke website of applicatie die gebruikersinvoer toestaat. Zelfs als een website of app geen vertrouwelijke informatie opslaat, kan het toestaan van ongeldige invoer ook problemen met de gebruikerservaring veroorzaken.
Waarom is invoervalidatie belangrijk?
Invoervalidatie is om twee redenen belangrijk, namelijk gebruikerservaring en beveiliging.
Gebruikerservaring
Gebruikers voeren vaak ongeldige invoer in, niet omdat ze een website of app proberen aan te vallen, maar omdat ze een fout hebben gemaakt. Een gebruiker kan een woord verkeerd spellen of de verkeerde informatie verstrekken, zoals het invoeren van de gebruikersnaam in het verkeerde vak of het proberen van een verouderd wachtwoord. Wanneer dit gebeurt, kan invoervalidatie worden gebruikt om de gebruiker op de hoogte te stellen van zijn fout, zodat deze deze snel kan corrigeren.
Inputvalidatie voorkomt ook scenario's waarin aanmeldingen en verkopen verloren gaan omdat een gebruiker niet op de hoogte is en denkt dat de juiste input is geleverd terwijl dat niet het geval is.
Beveiliging
Invoervalidatie voorkomt een breed scala aan aanvallen die op een website of applicatie kunnen worden uitgevoerd. Deze cyberaanvallen kunnen diefstal van persoonlijke informatie veroorzaken, ongeautoriseerde toegang tot andere componenten mogelijk maken en/of voorkomen dat een website/applicatie functioneert.
Ook het achterwege laten van invoervalidatie is eenvoudig op te sporen. Aanvallers kunnen geautomatiseerde programma's gebruiken om massaal ongeldige invoer op websites in te voeren en te bepalen hoe de websites reageren. Ze kunnen vervolgens handmatige aanvallen uitvoeren op websites die niet zijn beveiligd.
Dit betekent dat een gebrek aan invoervalidatie niet alleen een belangrijke kwetsbaarheid is; het is een kwetsbaarheid die vaak zal worden gevonden en dus vaak hacks kan veroorzaken.
Wat zijn invoervalidatieaanvallen?
Een invoervalidatieaanval is elke aanval waarbij schadelijke invoer wordt toegevoegd aan een invoerveld van een gebruiker. Er zijn veel verschillende soorten invoervalidatieaanvallen die verschillende dingen proberen te doen.
Bufferoverloop
Een bufferoverloop treedt op wanneer er te veel informatie aan een systeem wordt toegevoegd. Als er geen invoervalidatie wordt gebruikt, houdt niets een aanvaller tegen om zoveel informatie toe te voegen als hij wil. Dit wordt een genoemd buffer overflow aanval. Het kan ertoe leiden dat een systeem stopt met functioneren en/of informatie verwijdert die momenteel is opgeslagen.
SQL injectie
SQL-injectie is het proces van het toevoegen van SQL-query's aan invoervelden. Dit kan de vorm aannemen van het toevoegen van een SQL-query aan een webformulier of het toevoegen van een SQL-query aan een URL. Het doel is om het systeem te misleiden om de query uit te voeren. SQL-injectie kan worden gebruikt om toegang te krijgen tot beveiligde gegevens en om gegevens te wijzigen of te verwijderen. Dit betekent dat invoervalidatie bijzonder belangrijk is voor elke website of app die belangrijke informatie opslaat.
Cross-Site Scripting
Cross-site scripting omvat code toevoegen aan invoervelden van gebruikers. Het wordt vaak uitgevoerd door code toe te voegen aan het einde van een URL die behoort tot een gerenommeerde website. De URL kan worden gedeeld via forums of sociale media en de code wordt vervolgens uitgevoerd wanneer een slachtoffer erop klikt. Dit creëert een kwaadaardige webpagina die lijkt te worden gehost op de gerenommeerde website.
Het idee is dat als een slachtoffer de doelwebsite vertrouwt, ze ook een kwaadaardige webpagina moeten vertrouwen die erbij lijkt te horen. De kwaadaardige webpagina kan zijn ontworpen om toetsaanslagen te stelen, om te leiden naar andere pagina's en/of om automatische downloads te starten.
Hoe u invoervalidatie implementeert
Input validatie is niet moeilijk te implementeren. U hoeft alleen maar uit te zoeken welke regels nodig zijn om ongeldige invoer te voorkomen en deze vervolgens aan het systeem toe te voegen.
Schrijf alle gegevensinvoer
Maak een lijst met alle mogelijke gebruikersinvoer. Hiervoor moet u naar alle gebruikersformulieren kijken en rekening houden met andere soorten invoer, zoals URL-parameters.
Maak regels
Als u eenmaal een lijst hebt van alle gegevensinvoer, moet u regels opstellen die bepalen welke invoer acceptabel is. Hier zijn een paar algemene regels om te implementeren.
- Whitelisting: Sta alleen toe dat specifieke karakters worden ingevoerd.
- Blacklisting: voorkomen dat specifieke tekens worden ingevoerd.
- Formaat: sta alleen invoer toe die aan een bepaald formaat voldoet, d.w.z. alleen e-mailadressen toestaan.
- Lengte: sta alleen invoer toe tot een bepaalde lengte.
Regels implementeren
Om de regels te implementeren, moet u code toevoegen aan de website of applicatie die elke invoer afwijst die niet aan de regels voldoet. Vanwege de dreiging van ongeldige invoer, moet het systeem worden getest voordat het live gaat.
Reacties maken
Ervan uitgaande dat u wilt dat invoervalidatie ook gebruikers helpt, moet u berichten toevoegen die uitleggen waarom een invoer onjuist is en wat in plaats daarvan moet worden toegevoegd.
Invoervalidatie is een vereiste voor de meeste systemen
Invoervalidatie is een belangrijke vereiste voor elke website of app die gebruikersinvoer toestaat. Zonder controle over welke invoer aan een systeem wordt toegevoegd, beschikt een aanvaller over een reeks technieken die kunnen worden gebruikt voor hackdoeleinden.
Deze technieken kunnen een systeem laten crashen, wijzigen en/of toegang tot privé-informatie mogelijk maken. Systemen zonder invoervalidatie worden populaire doelwitten voor hackers en er wordt voortdurend op internet naar ze gezocht.
Hoewel invoervalidatie voornamelijk wordt gebruikt voor beveiligingsdoeleinden, speelt het ook een belangrijke rol bij het melden aan gebruikers wanneer ze iets verkeerds toevoegen.
