Tema: seguridad en formulario
Ver Mensaje Individual
  #3 (permalink)  
Antiguo 17/12/2008, 00:57
Avatar de SPAWN3000
SPAWN3000
 
Fecha de Ingreso: marzo-2008
Ubicación: Bogota
Mensajes: 858
Antigüedad: 16 años, 1 mes
Puntos: 15
Pregunta Respuesta: seguridad en formulario
Bueno, el concepto es mas bien general... se aplica a todos los lenguajes y aplicaciones en general.


Para php:
1. Configurar el archivo .htaccess(tambien con expresiones regulares) para impedir acceso a ciertos directorios, o limitar los archivos disponibles o visibles al visitante, o que alguien pueda extrar informacion u archivos desde tu sitio y publicarlo en el suyo.
2. Usar un algoritmo de encripcion para los datos de conexion a la BD, cuesntas de usuario... Principalmente tipos semilla.
3. Aplicar tecnicas de seguridad por oscuridad(Puede dificultar la tarea de atacantes novatos), una forma es usar un archivo index.html en blanco en todas las carpetas.
4. Inyeccion SQL(eregi): Validar el ingreso de caracteres como comillas sencillas, Dobles, intrucciones sql, =>,<=,==,+,-... en campos de Login, busqueda, registro, tec-Para esto se puede aplicar una regla con expresiones regulares... Finalmente terminas creando una clase de validacion para cada cosa...Email, url's, telf, Sistemas de Logeo...
5. En tus formularios, en vez del conocido y molesto captacha, puedes usar un campo oculto con un codigo de identificacion... Asi luego validas si realmente es un usuario el que intenta entrar en la maquina, ya que los robots ingresan datos en todos los campos una y otra vez, incrementando el nivel de trabajo de tu sistema y la base de datos.
6. Habilitar el modo seguro(safe mode), en la configuracion del servidor, esto puede evitar los ataques de tipo inclusion(Un atacante puede efectuar un script remoto si verifica que el servidor permite ejecutar o cargar otros sitios como parametros).
7. En lo posible, utilizar el metodo POST para el intercamio de informacion entre las paginas.
8. Asignar a las tablas y carpetas nombres poco intuitivos...Un caso: No crear una carpeta config y en su interior almacenar el archivo de conexion a la base de datos, evitar tablas con nombre: usuarios.
9. Efectuar control de usuarios tanto en cache del servidor, como la cookie del cliente... asi como la comprobacion de usuarios activos.
10. Validar por medio de paginas de error las anomalias del sistema, y no darle la libertad de presentar errores tecnicos al usuario.