Algunos pasos para evitar que hackeen tu aplicación web

Por qué hackean tu aplicación web ?

1. casi siempre: confiado o por desconocimiento, pero cuando eres mas cuidadoso pueden ser por las siguientes razones:

2. cuando no le prestas cuidado a los permisos, dejando que algunos tengan +x o +w al usuario publico o a la parte "world" (linux), o en windows dejando que el usuario "system" (bajo el cual por defecto corre el servicio) use sus permisos de superuser debiendo tu crear un usuario nuevo que corra al servicio web y debiendo tu crear objetos DACL apropiados con sus monitores de seguridad SACL apropiados.

3. cuando admites que un usuario suba un archivo o especifique la ruta de uno, violas la primera ley del validador: nunca confies en el userinput. Causas que el usuario aproveche los caracteres especiales: "." y ".." para alterar tu ruta y asi robarte archivos que nunca debio leer.

4. cuando admites herramientas de terceros de dudosa procedencia que pueden venir con backdoors que funcionan con llamadas GET y POST.

5. cuando generas claves MD5 con herramientas de terceros que te han engañado como a un super idiota, o nunca pensaste que ese "generador de md5" pudo haber guardado el key-pair (clavenocifrada-clavemd5) en su DB para posterior uso incluso contra ti mismo o alimentando bases de datos de robots ?

6. cuando no proteges los formularios de logon o password recovery con captchas y conteos de uso desde una misma IP.

7. cuando vas mas alla en el proceso de intercomunicacion de procesos y no tienes cuidado de solicitudes engañosas enviadas por callbacks falsos. Si quieres un buen ejemplo y mas claro de esto lee como FB solicita un callback para el caso de "login con Facebook", el callback es verificado para evitar este caso. Tambien, tienes el caso de ejemplo de Paypal callbacks, tambien ilustran la forma en como protegerse.

8. cuando en el mismo proceso de intercomunicacion de procesos anterios no tienes cuidado de ataques CSRF. (parecido al caso 7, pero mas orientado a suplantar peticiones reales, el caso 7 no son reales, son falsas).