รายการสตริงที่ควรตรวจสอบเมื่อรับข้อมูลจากผู้ใช้
(github.com)-
รวบรวมและจัดหมวดหมู่สตริงที่มักถูกใช้เล่นสนุก แต่หากถูกป้อนเข้าสู่ระบบก็อาจก่อให้เกิดปัญหาได้
-
สามารถใช้สำหรับทดสอบระบบได้
→ สตริงสงวน
→ เป็นสตริงแต่มีค่าเป็นตัวเลข: 1E+02 เป็นต้น
→ สัญลักษณ์ยูนิโค้ด / สตริงช่องว่าง / อีโมจิ เป็นต้น พร้อมทริกหลากหลายรูปแบบ
→ อักขระที่เมื่อแปลงเป็นตัวพิมพ์เล็กแล้วจาก 2 ไบต์กลายเป็น 3 ไบต์: Ⱥ , Ⱦ
→ การโจมตีแบบ Injection เช่น Script / SQL / Server Code / XXE เป็นต้น
→ ชื่อไฟล์พิเศษของ Windows: CON/PRN/COM1 เป็นต้น
→ สตริงที่ทำให้บางเวอร์ชันของ iOS แครชได้
3 ความคิดเห็น
แค่คัดลอกบางสตริงจากในนี้แล้ววางตามนั้น ก็สามารถทดสอบช่องโหว่ประเภทอินเจ็กชันได้หลายแบบทันทีเลย 555
ทำให้นึกถึง G-Test Pattern ของ @gendoh https://bit.ly/2XrQVDS เลย
รายการสตริงที่ควรตรวจสอบเมื่อรับอินพุตจากผู้ใช้
ผมลองนำสตริงบางส่วนไปโพสต์ลง Twitter/Facebook แบบเดียวกันดู
พบว่ามีบางสตริงที่ผ่านบน Twitter ได้ แต่บน Facebook กลับเกิดข้อผิดพลาด
https://twitter.com/xguru/status/1265080289425895424