Las aplicaciones web son hoy en día de las aplicaciones más utilizadas, todo está tendiendo a convertirse en ese tipo de aplicaciones y como tales, son constantemente blanco de personas inescrupulosas que intentan aprovecharse de la exposición a la que se ven sometidas las mismas, por esto es que toda aplicación web debe prevenir lo mejor que se pueda estos ataques.
Entre los ataques más comunes se encuentran, la inyección sql:
y el Cross Site Scripting:
a veces los que hacen estos ataques lo hacen por diversión pero en muchos casos están comprometidos los datos de los usuarios y la aplicación como tal, así que en nuestra aplicación aplicamos ciertas técnicas para prevenir ser víctimas.
En cuanto a la inyección sql hemos hecho un filtro en los campos más críticos, de tal forma que palabras clave que forman una consulta sean identificadas antes y de esta forma no se ejecuten directamente en la base de datos; palabras como "select", "from", "=", "delete", "drop", "where", son filtrados inicialmente, pues son evidentemente malintencionados.
Respecto al Cross Site Scripting se hizo un filtro en los campos críticos para que caracteres como "<", ">", y palabras como "<script>" nos ayudarán a evitar estos ataques.
Otra forma en que podríamos tener problemas de seguridad es en cuanto a autorización, por ejemplo haciendo acciones indevidas siendo un usuario normal, para evitarlo cada usuario de la aplicación cuenta con un rol y este con ciertos permisos, de tal forma que si un usuario está autenticado como normal e inserta una URL de un administrador, este no podrá tener acceso a las acciones que el administrador puede realizar.
Es imposible que una aplicación este totalmente blindada contra cualquier ataque en la red, pero nosotros tratamos de hacer lo más basico por lograr complicarles la vida a aquellos que nos quieran atacar jejeje.
0 comentarios:
Publicar un comentario