Vista de seguridad
Hola estoy empezando en el mundo de la seguridad en aplicaciones web y me gustaría poder contar con su ayuda pues tengo un grupo de interrogantes que me impiden adentrarme más en este mundo. Si me pudieran hecha una mano se lo voy a agradecer infinitamente.
En el proyecto que estoy actualmente me dieron la tarea de desarrollar la política de seguridad o vista de seguridad para el desarrollo de aplicaciones web, por lo que he leído esta vista lleva muchas cosas y no encuentro un orden para hacerla.
Necesito una guía para lograr la seguridad en aplicaciones web en todas sus capas así como una lista de chequeo para verificar si la codificación, la configuración en el servidor de datos, la configuración en el servidor de aplicaciones, la configuración del php, la seguridad en la comunicación, la validación en el cliente y otras validaciones están hechas correctamente.
Todo lo que se relaciones con : Como lograr la seguridad en aplicaciones web me hace mucha falta.
Espero su ayuda Saludos oiner
En el proyecto que estoy actualmente me dieron la tarea de desarrollar la política de seguridad o vista de seguridad para el desarrollo de aplicaciones web, por lo que he leído esta vista lleva muchas cosas y no encuentro un orden para hacerla.
Necesito una guía para lograr la seguridad en aplicaciones web en todas sus capas así como una lista de chequeo para verificar si la codificación, la configuración en el servidor de datos, la configuración en el servidor de aplicaciones, la configuración del php, la seguridad en la comunicación, la validación en el cliente y otras validaciones están hechas correctamente.
Todo lo que se relaciones con : Como lograr la seguridad en aplicaciones web me hace mucha falta.
Espero su ayuda Saludos oiner
1 Respuesta
Respuesta de shiro578
1
La verdad es que en el campo de las Aplicaciones Web no estoy muy expirementado.
Tengo conocimientos de hacking y hashing y conocimientos teóricos de protocolos de seguridad, pero nunca he trabajado en ese campo (me he limitado y espero que no me escuche mucha gente, a saltarme esas políticas xD). Te puedo aconsejar, darte ideas, de hecho, e incluso compartirlas, ahora bien, no te puedo asegurar que no se me olviden cosas o lo que yo te cuento realmente es 100% cierto y que falta información.
Si en algún caso, tuviese que realizar un proyecto como el tuyo:
Primero: preservar la integridad de los datos de la aplicación en cuestión, es decir, aunque fuesen capaces de llegar al código de la aplicación, no fuesen capaces de entenderlo. Mediante un hash en MD5 o algo así.
Segundo: sería que la transmisión de datos fuese totalmente fiable, no se que "niveles de privacidad" requiere la aplicación en cuestión, pero una transmisión de datos pública/privada, IPSEC e incluso SET, podría llegar a ser óptimo, pero solo en el caso que esa aplicación interactue con datos de alguien, si no es más que un juego, la verdad es que mucha cosa no hay que hacer...
Tercero: Miraría que la aplicación no se pudiese "petar" por inyección SQL, o un mismo fallo en la programación de esta, como PHP o ASP, que tiene muchos bugs, y a veces debugeando con un print, se hace mucho xD.
Y por último, buscar bugs en la misma aplicación que pudiesen llegar a ser agujeros de seguridad. Es decir, crear su solución, y volverla a "petar", solucionar esa y petarla de otra forma, hasta que la aplicación fuese semiperfecta.
Lo siento por no poderte ser de mucha ayuda. Pero considero que siempre es mejor contestar "que no lo sabes" a no contestar.
He encontrado este *.pdf que igual te sirve de guía o ayuda sobre tu duda:
http://www.dnic.unal.edu.co/docs/guia_para_elaborar_politicas_v1_0.pdf
Saludos! Y suerte!
Tengo conocimientos de hacking y hashing y conocimientos teóricos de protocolos de seguridad, pero nunca he trabajado en ese campo (me he limitado y espero que no me escuche mucha gente, a saltarme esas políticas xD). Te puedo aconsejar, darte ideas, de hecho, e incluso compartirlas, ahora bien, no te puedo asegurar que no se me olviden cosas o lo que yo te cuento realmente es 100% cierto y que falta información.
Si en algún caso, tuviese que realizar un proyecto como el tuyo:
Primero: preservar la integridad de los datos de la aplicación en cuestión, es decir, aunque fuesen capaces de llegar al código de la aplicación, no fuesen capaces de entenderlo. Mediante un hash en MD5 o algo así.
Segundo: sería que la transmisión de datos fuese totalmente fiable, no se que "niveles de privacidad" requiere la aplicación en cuestión, pero una transmisión de datos pública/privada, IPSEC e incluso SET, podría llegar a ser óptimo, pero solo en el caso que esa aplicación interactue con datos de alguien, si no es más que un juego, la verdad es que mucha cosa no hay que hacer...
Tercero: Miraría que la aplicación no se pudiese "petar" por inyección SQL, o un mismo fallo en la programación de esta, como PHP o ASP, que tiene muchos bugs, y a veces debugeando con un print, se hace mucho xD.
Y por último, buscar bugs en la misma aplicación que pudiesen llegar a ser agujeros de seguridad. Es decir, crear su solución, y volverla a "petar", solucionar esa y petarla de otra forma, hasta que la aplicación fuese semiperfecta.
Lo siento por no poderte ser de mucha ayuda. Pero considero que siempre es mejor contestar "que no lo sabes" a no contestar.
He encontrado este *.pdf que igual te sirve de guía o ayuda sobre tu duda:
http://www.dnic.unal.edu.co/docs/guia_para_elaborar_politicas_v1_0.pdf
Saludos! Y suerte!
Gracias por responderme... como te dije anteriormente soy el arquitecto de seguridad del primer ERP cubano... ya desarrolle una aplicación para el control de la seguridad y me quedo muy bien pero la seguridad no termina allí no es solo decir a que tiene permiso un usuario y a que no...
Yo tengo que velar que no se dejen huecos de seguridad a la hora de programar ... para eso tengo que hacer una lista de chequeo y hacerla cumplir... también tengo que establecer la política de trasferencia de datos de una forma segura... y hasta pensar en la posibilidad de un PKI en un futuro... toda esa responsabilidad es mía y me estoy volviendo loco porque son muchas cosas y no se por donde empezar...
Bueno muchas gracias y cualquier cosa puedes escribirme sin problemas ok saludos oiner...
Yo tengo que velar que no se dejen huecos de seguridad a la hora de programar ... para eso tengo que hacer una lista de chequeo y hacerla cumplir... también tengo que establecer la política de trasferencia de datos de una forma segura... y hasta pensar en la posibilidad de un PKI en un futuro... toda esa responsabilidad es mía y me estoy volviendo loco porque son muchas cosas y no se por donde empezar...
Bueno muchas gracias y cualquier cosa puedes escribirme sin problemas ok saludos oiner...
