AWWW-1st3.6-w13.tresc-1.0-Slajd15
Podsumowanie
Należy podkreślić trzy główne konkluzje wynikające z tego wykładu. Po pierwsze, programista powinien wykazywać ograniczone zaufanie do pól ukrytych HTML i zmiennych Cookies. Otrzymywane od nich wartości niekoniecznie muszą być tymi samymi, które wcześniej w nich zapisaliśmy. Po drugie, w każdej aplikacji WWW niezbędna i krytyczna jest walidacja wszelkich danych wejściowych pozyskiwanych od użytkownika. Brak walidacji otwiera intruzom drogę do stosowania szerokiej palety metod ataku, m.in. SQL Injection i Cross-Site Scripting. Po trzecie, należy przyjąć, że mechanizm sesji HTTP jest z definicji podatny na zagrożenia, w związku z czym w krytycznych punktach aplikacji, np. w chwili wykonywania przelewu w aplikacji bankowości internetowej, wskazane jest wtórne uwierzytelnienie użytkownika np. za pomocą hasła jednokrotnego.
