Los registros de transacciones son una protección contra la pérdida de datos, pero si se ve comprometido, perderá ante todo la confianza del cliente. El mejor medio de protección es evitar comprometerse en primer lugar.
1. Documente su trabajo en detalle y realice revisiones de seguridad de su código. Analice su propia aplicación desde el punto de vista de alguien cuyo único propósito es obtener datos privilegiados y / o acceso elevado. Su conocimiento del funcionamiento interno de la aplicación significa que sabrá qué y cómo podría explotarse; asegúrese de corregir esos vacíos antes de lanzarlo. Haga una lluvia de ideas con alguien sobre cómo podrían intentar explotar las funciones de su sitio y asegúrese de tener en cuenta cada una de estas posibilidades.
2. Desinfecte sus entradas. Cada forma en que un usuario ingresa datos es un posible punto de inyección de SQL o XSS. Lo mismo es cierto para cualquier solicitud GET y cualquier información de formulario que, en teoría, debería ser generada por scripts que se ejecutan en el extremo del usuario (ver # 3).
3. Nunca confíe implícitamente en el usuario final para proporcionar datos válidos y no maliciosos. Verifique los privilegios de acceso en cada acción y cada carga de página.
4. Es posible que desee utilizar cadenas binarias pseudoaleatorias como ID en lugar de las numéricas secuenciales. Incluso si un atacante encuentra un lugar en su aplicación donde puede recuperar información forzando la recuperación de datos con una ID diferente, no puede usarla sin conocer esa ID de antemano.
5. Hacer cumplir HTTPS. No se debe ejecutar ninguna acción o entrada del usuario a través de conexiones sin cifrar. Un certificado SSL adecuado puede costarle un poco, pero vale cada centavo.
6. Aplique contraseñas seguras y use un algoritmo computacionalmente costoso para el hash de contraseñas.
7. No use alojamiento compartido. Si alguno de los otros sitios alojados en el mismo servidor se ve comprometido, todos los demás, incluido el suyo, corren el riesgo de verse comprometidos por el mismo intruso.
8. Contrate a un experto en seguridad para auditar su aplicación. Al final, estas personas hacen ese tipo de cosas para ganarse la vida y no importa cuántas hazañas potenciales contra las que te hayas asegurado, pueden conocer a una pareja de la que nunca has oído hablar.
- ¿Cómo sabe una empresa que sus sistemas han sido pirateados?
- Los spammers han secuestrado los resultados de búsqueda de Google para mi blog, ¿cómo lo soluciono?
- ¿Cuál es todo el proceso para convertirse en un hacker ético certificado? ¿Cómo se aprende? ¿Dónde debería uno comenzar?
- ¿El hackeo ético es una buena carrera?
- ¿Qué harías si has pirateado las 5 mejores universidades del mundo y los muchachos de seguridad no responden?
