A sanitização de entrada é uma medida de segurança cibernética para verificar, limpar e filtrar entradas de dados de usuários, APIs e serviços da Web de quaisquer caracteres e strings indesejados para evitar a injeção de códigos prejudiciais no sistema.
Os hackers usam a inclusão remota de arquivo (RFI) e ataques de injeção, como injeção de SQL (SQLi) e script entre sites (XSS) para explorar a lacuna na interação entre o site e o servidor. Eles podem codificar caracteres especiais e executar ações não autorizadas que comprometem a segurança. Com a sanitização de entrada em vigor, esses tipos de ataques podem ser evitados.
Um aplicativo recebe consultas e solicitações de fontes não confiáveis que podem expor o sistema a ataques maliciosos. A higienização da entrada garante que os dados inseridos estejam em conformidade com os requisitos do subsistema e de segurança, eliminando caracteres desnecessários que podem causar danos potenciais.
Higienização de insumos
Do navegador do usuário, a entrada de dados viaja por meio de solicitação GET, solicitação POST e cookies, que os hackers podem editar, modificar e manipular para obter acesso ao servidor da web. A sanitização de entrada serve como um filtro para filtrar os dados codificados à medida que eles se movem para o servidor da web. Isso pode ser feito de três maneiras:
- Whitelist higienização permite apenas caracteres e strings de código válidos.
- Desinfetante de lista negra limpa a entrada removendo caracteres indesejados, como quebras de linha, espaços em branco extras, tabulações, & e tags.
- Desinfecção de escape rejeita solicitações de dados inválidos e remove entradas para não ser visto como códigos.
Benefícios da sanitização de insumos
A limpeza de entrada não é, de forma alguma, um meio perfeito para evitar ataques de injeção e infiltração perniciosa de um servidor web. Mas tem algumas vantagens, como:
- Fornece uma defesa de perímetro contra ataques cibernéticos comuns
- Prevenir algumas formas de inclusão de arquivos remotos e ataques de injeção (injeção de código, SQLi e XSS)
- Protegendo o sistema contra intrusões de código malicioso
- Manter a integridade do servidor web, banco de dados e outros ativos digitais