En cuanto a SQL y XSS; Me gusta dónde ha ido el mundo del desarrollo en los últimos 5 años hacia el bloqueo de ataques mediante inyección SQL y Xss. En 2010, la inyección sql, xss y csrf eran, con mucho, las mayores preocupaciones y las fuentes más comunes de vulnerabilidades. Me sorprendería si no tuvieras una cantidad moderada de éxito en ese entonces, incluso como aficionado. El phishing fue un juego de niños.
El paisaje de hoy es muy diferente; Los marcos actuales y el CMS prácticamente han hecho que tales cosas sean una ocurrencia tardía al adoptar medidas de seguridad y / o hacer que sea extremadamente simple evitarlo. Dicho esto, recientemente encontré un error en la generación de formularios de CodeIgniter que puede conducir a ataques xss y csrf, por lo que es solo un recordatorio de que, si bien las cosas mejoran mucho, todavía es posible.
Por supuesto, si alguna vez podemos confiar en algo en este mundo, es el descuido de los demás. Recientemente me encontré con un sitio creado en Symfony, y no solo se dejaron los informes de errores, sino que también pude acceder al entorno de desarrollo. (descargo de responsabilidad: no hice nada ilegal ni realicé ningún tipo de ataque; simplemente examiné lo que se podía ver públicamente).
- ¿Cuál es la mejor plataforma de facturación y pago para un producto de suscripción web basado en equipo?
- ¿Cuáles son algunas buenas ideas para un bot web?
- ¿Qué pasos debo seguir para desarrollar un negocio basado en la web mientras actualmente no tengo experiencia en la programación o diseño de sitios web?
- ¿Cuál es el mejor IDE de JavaScript gratuito?
- ¿Cómo hacen las personas para escribir documentos de ayuda para una aplicación web?
Ahora, eso es solo en lo que respecta al lado del cliente de las aplicaciones web hoy. Pequeños trucos tontos como ” OR 1 = 1 / * ‘nunca serán suficientes hoy, pero muchos de los otros problemas más arraigados de antaño todavía son bastante frecuentes (una vez más, solo puedes hacer mucho para evitar el descuido / incompetencia). Un ejemplo particular que viene a la mente de inmediato es el control de acceso interrumpido. Las API de terceros en particular son rampantes hoy en día, pero la calidad de esas API está, como era de esperar, en todas partes; ¿Te imaginas que la autenticación de usuario es el exploit más común? Y ese es solo uno de los muchos problemas comunes con las API en la actualidad.
A nivel de servidor y de red, bueno, eso es algo de lo que podríamos hablar todo el día, pero dada la complejidad, no es algo que se rectifique con alguna satisfacción. El error Heartbleed de hace unos años es un brillante ejemplo de cómo las cosas que damos por sentado no siempre son seguras.