Mi sitio web está a punto de ser lanzado. Está construido en HTML, PHP y Javascript. ¿Cuáles son algunas medidas de seguridad que puedo tomar?

Hola, muchos desarrolladores han caído en la trampa de crear instancias de variables sin definir sus valores, ya sea debido a limitaciones de tiempo, distracciones o falta de esfuerzo. Las variables que validan el proceso de autenticación deben tener valores instanciados antes de que comience el procedimiento de inicio de sesión. Este simple paso puede evitar que los usuarios pasen por alto la rutina de verificación o accedan a áreas del sitio a las que sus privilegios no les dan derecho.

Si usa MySql, lo que debe hacer es desinfectar sus consultas para evitar ataques de sqlinjection, cuidar la falsificación de solicitudes de sitios cruzados (CSRF), ataques de secuencias de comandos de sitios cruzados (XSS).

Tenga cuidado con la función para recuperar una contraseña. Nunca envíe las instrucciones de recuperación a una nueva dirección de correo electrónico y deje que el propietario de la dirección de correo electrónico registrada ejecute la acción de recuperación.

Las imágenes de Captcha son una forma excelente y sencilla de evitar que los robots accedan a sus formularios web. Úselos cuando un envío remoto pueda dañar su aplicación web y en la versión de producción. Inhabilite los informes de errores de PHP porque hay muchas razones por las que puede ocurrir algún error de PHP en un sitio. Para un pirata informático, un aviso o mensaje de error es una fuente para obtener información sobre su sitio web y / o la configuración del servidor.

Estas son algunas medidas de seguridad que puede tomar en consideración.

¡Espero eso ayude!

Hola,

Esto podría ayudar un poco.

1) Desactivar el informe de errores. Use el registro de errores para capturar errores.

2) Valide la entrada del usuario usando PHP (o el idioma de su servidor). Nunca confíes en el usuario final.

3) Proteger contra inyección SQL y ataques XSS.

4) Proteger los archivos incluidos. (Cambie su extensión que no se analiza como PHP).

5) Hacer hash de contraseñas.

6) Uso de alguna validación mientras se usa ajax (Ponlo en sesión y en datos de ajax).

7) Deshabilitar listado de directorio (use .htaccess [Proteja esto también])

8) Puede ocultar el lenguaje de scripting de su servidor (me refiero a usar la extensión personalizada .foo .html, etc.)

9) Hacer uso de permisos.

10) Limite los intentos de inicio de sesión.

NUNCA HAGA RODAR SU PROPIO SISTEMA DE AUTENTICACIÓN.

Seriamente. De esa manera es el paraíso de un hacker. Incluso si todo lo demás se enrollará a mano, extraiga un paquete conocido y actualizado con frecuencia de los repositorios y haga uso de eso. Obtendrá el beneficio de un sistema que contiene significativamente menos fallas que cualquier cosa hecha a medida, y tiene el beneficio (especialmente si es de código abierto) de tener muchas docenas, si no cientos o incluso miles de personas seleccionando el código fuente. Algunos serán piratas informáticos que buscan fallas, pero la mayoría serán personas que buscan algo para mejorar o solucionar.

Por ejemplo, si está utilizando ASP.NET, busque en Identity 2.2, así como sus derivados y extensiones (me gustaría extenderlo con BrockAllen Indentitiy Reboot). Todo esto está disponible gratuitamente a través de NuGet, la versión de Microsoft de yum o apt-get. Cualquier cosa que use como plataforma de programación tendrá sin duda sus propios paquetes de autenticación disponibles de forma gratuita; aprovecharlos cuando y donde puedas.