El informe es largo, pero hay que leerlo!. Los errores más comunes siguen siendo Injeccion SQL y Cross-Site Scripting
La OWASP (Open Web Application Security Project) realiza este estudio cada año y en su sitio se puede consultar sobre estudios de años anteriores.
Url: http://www.owasp.org/images/4/44/OWASP_Top_10_-_2010.pdf
Siguiendo con estos posteos en la categoria “paranoia”, encontre esta clase PHP, que nos permite analizar y detectar posible ataques HTTP a nuestras páginas. Para bajar la clase, en este link.
Skipfish es una aplicacion web para analizar las posibles vulnerabilidades de seguridad.
Url: http://code.google.com/p/skipfish/
Estoy intentando aumentar mis conocimientos sobre seguridad web, debido a que tengo que comenzar un proyecto que requiere una seguridad alta.
Como cualquier desarrollador intento estar al dia en cuanto a cuestiones de seguridad, vulnerabilidades comunes, formas posibles de ataque, etc.
En este cuadro, se pueden ver las distintos tipo de ataques mas comunes.
En mi caso, una web con php+mysql y apache, lo básico es evitar la inyección sql, escapeando todas las entradas de los usuarios y variables que usemos dentro de las sql. Tambien es importante declarar todas las variables que usemos, no permitir listar directorios, no dejar listar carpetas y archivos, etc etc.
Más alla de “lo básico”, hay una cantidad muy grande (lamentablemente) de tipos de ataques que podemos recibir.
Dejo un listado de paginas que he estado visitando en los últimos dias sobre estos temas.
Inglés
http://en.wikipedia.org/wiki/SQL_injection
http://articles.sitepoint.com/article/php-security-blunders
http://www.phpfreaks.com/tutorial/php-security
http://www.justinclarke.com/archives/2006/03/sqlbrute.html
http://unixwiz.net/techtips/sql-injection.html
http://www.noupe.com/php/php-security-tips.html
Web Security Trends Reports 2009 (PDF)
Español
http://www.tufuncion.com/php_seguridad_I
http://www.sebastianbarria.com/web/seguridad-con-php-mysql/
http://www.xombra.com/go_articulo.php?nota=131
http://www.sip.gob.mx/seguridad/206-seguridad-de-un-servidor-web
http://www.dsi.uclm.es/descargas/thecnicalreports/DIAB-05-01-2/Seguridad_en_Servicios_Web.pdf
Cada año un grupo de hackers se reune para intentar machacar a todos los navegadores con todo tipo de ataques, aprovechandose la las vulnerabilidades de cada browser. Según la nota publicada en Techspot y en computerworld.com el unico invencible -por ahora- es Chrome, todos los demas (IE,firefox, safari) han sido derrotados por estos malvados.
Muy interesante, este documento sobre las vulnerabilidades mas “populares”. Como se ve en el grafico, la mas popular sigue siendo SQL Injection, lo cuál es bastante raro ya que es una vulnerabilidad muy difundida y que no es muy complicado evitarla.
