Resumen de vectores de ataque XSS y SQL Injection

Una tarea importante en cualquier desarrollo es garantizar su seguridad ante ataques. O al menos así debería serlo, porque no suele ser lo habitual. Muchas veces estas cosas no se tienen en cuenta, bien por premuras de tiempo en el cierre de proyectos, o por el mero desconocimiento de los desarrolladores, que hace que sus aplicaciones sean auténticos coladores.

El primer paso es conocer los distintos tipos de ataques existentes y desarrollar las diferentes partes de la aplicación con ellos en mente. De esta forma evitaremos a buen seguro un alto porcentaje de los posibles ataques y seremos con mucha menor probabilidad objetivo de usuarios maliciosos. Esto es así por algo tan sencillo como que aunque sea imposible garantizar una seguridad al 100%, sí que habremos elevado el listón para que la gran mayoría de atacantes, cuyos conocimientos no sean muy altos o bien realicen ataques indiscriminadamente, sin objetivos concretos, pasen de nuestro web y prueben con otros.

Tras realizar la aplicación, lo ideal sería realizar tests de intrusión completos, e incluso contratar a compañías específicas cuyos conocimientos seguramente superarán los nuestros para que los realicen, pero esto supone un coste que todos los proyectos (si no la mayoría) no pueden abordar. Sin embargo sí que es posible realizar algunos de estos tests por nosotros mismos, al menos comprobando que las diferentes partes de la aplicación no son vulnerables a los ataques más frecuentes.

Si estás interesado en realizar este tipo de tests, aparte de conocer la teoría detrás de los ataques como XSS o SQL Injection, puede serte útil utilizar algunos vectores de ataque que se usan frecuentemente.

• Vectores de ataque XSS
• SQL injection prevention tips for web programmers