10 signos de una aplicación web insegura
Interesante lista de puntos que pueden evidenciar que nuestra aplicación web tiene problemas de seguridad:
- EstadÃsticas expuestas: está bien saber quienes nos visitan, aunque lo que no es correcto es que esta información este disponible. Algunos programas de estadÃsticas tiene problemas de vulnerabilidad, a parte de que esa información deberÃa ser confidencial.
“Generated by Webalizer” intitle:”Usage Statistics”
inurl:awstats filetype:pl - Copias de seguridad: muchas veces los desarrolladores, al no disponer de un entorno de pruebas, crean copias de seguridad en el mismo servidor, normalmente renombrando como .old o .bak.
filetype:bak inurl:”default”
filetype:old inurl:”index”
inurl:”Copy%20of%20″ - Tu sitio aparece en un sitio que recopila sitios con vulnerabilidades.
sla.ckers.org - Listado de directorios: no permitas que la gente pueda acceder a la lista de los ficheros contenidos en los directorios.
“index of cgi-bin”
intitle:”index of/” intext:”parent directory” - Datos de login pasados en claro.
- Certificados SSL caducados: ¿cómo se puede confiar en un sitio que no paga unos cientos de dólares para tener su certificado en orden?.
- Uso de código ajeno: no se trata de no usar código de otros, sino de usarlo estando seguro de que no tiene errores de seguridad, para ello es bueno pasarse de vez en cuando por Secunia o SecurityFocus.
- Mensajes de error: cuidado con los mensajes de error que muestras, lo más recomendable es ponerle niveles a las trazas, asÃ, si usas el nivel DEBUG los errores que cuando se muestran puedan ser peligrosos para nuestra aplicación solo se usaran cuando desarrollamos.
“ORA-00921: unexpected end of SQL command”
“Microsoft OLE DB Provider for ODBC Drivers error” - Comentarios en nuestro código: aunque no aparezcan si se pueden leer mirando el código fuente, un error grave es poner comentarios para nuestro código PHP o JSP como comentarios HTML.
// TODO lang:javascript
// FIXME lang:javascript - Si apareces en la lista de Zone-H Defacement Archive debes ponerte a trabajar ya mismo.
Top 10 Signs You Have an Insecure Web App
VÃa / dzone