Estoy intentando aumentar mis conocimientos sobre seguridad web, debido a que tengo que comenzar un proyecto que requiere una seguridad alta.
Como cualquier desarrollador intento estar al dia en cuanto a cuestiones de seguridad, vulnerabilidades comunes, formas posibles de ataque, etc.
En este cuadro, se pueden ver las distintos tipo de ataques mas comunes.
En mi caso, una web con php+mysql y apache, lo básico es evitar la inyección sql, escapeando todas las entradas de los usuarios y variables que usemos dentro de las sql. Tambien es importante declarar todas las variables que usemos, no permitir listar directorios, no dejar listar carpetas y archivos, etc etc.
Más alla de “lo básico”, hay una cantidad muy grande (lamentablemente) de tipos de ataques que podemos recibir.
Dejo un listado de paginas que he estado visitando en los últimos dias sobre estos temas.
Inglés
http://en.wikipedia.org/wiki/SQL_injection
http://articles.sitepoint.com/article/php-security-blunders
http://www.phpfreaks.com/tutorial/php-security
http://www.justinclarke.com/archives/2006/03/sqlbrute.html
http://unixwiz.net/techtips/sql-injection.html
http://www.noupe.com/php/php-security-tips.html
Web Security Trends Reports 2009 (PDF)
Español
http://www.tufuncion.com/php_seguridad_I
http://www.sebastianbarria.com/web/seguridad-con-php-mysql/
http://www.xombra.com/go_articulo.php?nota=131
http://www.sip.gob.mx/seguridad/206-seguridad-de-un-servidor-web
http://www.dsi.uclm.es/descargas/thecnicalreports/DIAB-05-01-2/Seguridad_en_Servicios_Web.pdf
