La seguridad es uno de los temas que más me gusta, por lo que estoy aprovechando el verano para aprender más sobre seguridad web mediante blogs y un par de libros como Web Security Testing Cookbook. Por lo tanto, voy a escribir unas pocas entradas sobre el tema, esta primera recogiendo unos pocos consejos muy básicos sobre el tema. En este caso estoy pensando en la seguridad web, pero serían aplicables a casi cualquier software.
-
Ponte en el lado del atacante, los test de seguridad tratan de asegurarse de que el comportamiento de nuestras aplicaciones es el esperado incluso ante entradas malintencionadas. Desconfía siempre del usuario que accede a tu sitio.
-
No se puede demostrar la no existencia de vulnerabilidades, creer que tu sitio es inexpugnable es uno de los errores más graves que puedes cometer, por muchas pruebas que ya hayas realizado.
-
Apóyate en la multitud de herramientas existentes, la mayoría son muy flexibles y adaptables a nuestras necesidades. Si no encuentras una herramienta que facilite la tarea que persigues hacer, quizás es porque no la has buscado lo suficiente.
-
Haz test automatizados y repetibles siempre que sea posible. Te ayudará al mantenimiento del sitio y a que cualquiera los pueda repetir por ti cuando se hayan hecho modificaciones.
-
No te olvides de proteger también a los usuarios, tanto sus datos sensibles como sus credenciales de identificación.