Si es un desarrollador web y está pensando en la seguridad web, ya ha dado el primer paso para aprender a escribir código más seguro. La seguridad ha estado completamente aislada del proceso de desarrollo durante mucho tiempo, por lo que muchos desarrolladores lo encuentran intimidante. Aquí hay un par de consejos para comenzar:
- Nunca confíes en la entrada del usuario. Siempre desinfecte y valide la entrada del usuario. Esto también se aplica a los objetos serializados: tratar los datos deserializados como entradas confiables es un error de seguridad muy común.
- Use la lista blanca en lugar de la lista negra. Si está en la lista negra, debe tener en cuenta todas las opciones inválidas posibles y si pierde algo, podría exponer su aplicación web a los piratas informáticos. Por eso es mucho mejor simplemente incluir en la lista blanca lo que es válido.
- Familiarícese con OWASP Top 10. OWASP Top 10 es una lista de las vulnerabilidades más comunes que le muestra lo que debe tener en cuenta al escribir código. La versión más reciente de la lista de los 10 principales se lanzó en noviembre de 2017 y comprender las 10 categorías de vulnerabilidad enumeradas lo ayudará a obtener una comprensión básica de la seguridad.
- Tenga cuidado al usar scripts de terceros. Los scripts de terceros le permiten agregar funcionalidad a su sitio sin tener que escribir algo desde cero, pero también conllevan riesgos. Los scripts de terceros pueden ser tan vulnerables como su propio código, especialmente si el recurso se carga desde una fuente externa.
- Estar al día. La seguridad nunca se detiene. No hace mucho tiempo, las pruebas de penetración trimestrales o incluso anuales eran lo que las compañías hacían para mantenerse a salvo. Esto ya no es suficiente ya que la seguridad se desarrolla tan rápidamente que surgen nuevas vulnerabilidades todos los días. Lo que es seguro hoy podría ser vulnerable mañana. Los desarrolladores deben estar alerta todo el tiempo, listos para aprender nuevos métodos de remediación y comprender nuevas vulnerabilidades. La comunidad netsec en reddit es un gran lugar para seguir los últimos desarrollos en seguridad web. Puede parecer complicado al principio, pero a medida que lea más artículos escritos, se acostumbrará a pensar en la seguridad y considerarla desde la primera línea de código.
- Use monitoreo automatizado. Es imposible detectar manualmente cada vulnerabilidad en su sitio web. Los escáneres de vulnerabilidad automatizados como Detectify pueden ayudarlo a identificar problemas de seguridad y ver exactamente dónde es vulnerable su sitio. Luego puede remediar rápidamente las vulnerabilidades y mejorar la seguridad de su sitio web.