Validation et codage

La validation désigne le processus de vérification des données en entrée pour s'assurer qu'elles sont construites correctement. Une constatation Validation.Required indique qu'aucune validation n'est intervenue sur un chemin de données spécifié depuis la source jusqu'au collecteur. La validation peut se limiter à une limitation des données à une longueur maximale et aussi complexe que la vérification de noms et d'adresses correctement formés. La validation peut également dépister des attaques (par injection SQL, par exemple) en détectant des séquences de caractères proscrits qui induisent ces attaques.

Le codage désigne le processus de transformation des données pour qu'elles soient construites correctement. Une constatation Validation.EncodingRequired indique qu'aucun codage n'est intervenu sur un chemin de données spécifié depuis la source jusqu'au collecteur. Le codage peut être aussi simple que l'adjonction de caractères d'échappement ou aussi complexe que le chiffrement des données. Le codage peut également empêcher des attaques (par script intersite, par exemple) en échappant les caractères qui invitent ces attaques.

Lors du premier examen, AppScan® Source peut identifier une constatation en tant que constatation de sécurité suspectée. Lorsque vous créez une routine de validation ou de codage s'appliquant à une source spécifique, AppScan Source for Analysis signale la constatation en tant que constatation définitive (au lieu de suspectée) si cette routine n'est pas appelée après la réception de données de cette source.

Les évaluations suivent les données provenant de sources connues à travers un projet. Si des données peuvent être suivies depuis une source connue jusqu'à un collecteur connu, des routines de validation et de codage spécifiées peuvent garantir qu'une attaque malveillante ne puisse pas exploiter des données d'entrée non bornées.