OASAM-DV: Data Validation

En esta categoría se incluirán vulnerabilidades que tienen que ver con el manejo por parte de la aplicación de la entrada recibida por parte del usuario. La mala validación de la entrada del usuario es uno de los principales vectores de ataque, ya que puede permitir a un atacante alterar los flujos de información de la aplicación, inyectando código y afectando gravemente a la aplicación y a los datos que ella contiene. En el Top Ten de riesgos en aplicaciones móviles, esta categoría constituye el puesto 4, denominándose “Client Side Injection”. Si bien el origen de este tipo de vulnerabilidades es el mismo, en función de dónde interactúen los datos recibidos por parte del usuario tendremos diferentes tipos de vulnerabilidades, con afectaciones muy diversas.
Los siguientes controles aplican al presente apartado:


Referencia Test Resultado
OASAM-DV-001  Cross Site Scripting.  Inyección de código HTML.
OASAM-DV-002  Buffer Overflow.  Desbordamiento de buffers.
OASAM-DV-003  SQL Injection.  Inyecciones de comandos en las bases de datos.
OASAM-DV-004  Path Manipulation.  Inyección de rutas en el acceso a ficheros.
OASAM-DV-005  Dos Null Check in IPC.  Comprobación de los nulos en los parámetros.
OASAM-DV-006  Log Injection.  Inyecciones en los logs.
OASAM-DV-007  Intent Injection.  Inyecciones hacia el IPC vía datos en los Intents.