martes, diciembre 19, 2006

Seguridad y PHP

Leyendo este artículo de SecurityFocusm, me ha recodado un poco a la auditoría de seguridad que tengo entre manos ahora mismo. Hablan sobre PHP, y sobre como es complicado escribir código seguro en PHP. De hecho, el artículo habla que PHP debería ser mejor Pretty Hard to Protect. Tengo que reconocer que programas como PHP Nuke es un soft lleno de problemas. El artículo habla que aproximadamente el 43% de los problemas del 2006 en seguridad han sido en aplicaciones escritas en PHP. ¿Significa que el PHP no sea seguro?. No, significa que es complicado hacer aplicaciones seguras en PHP, al igual que lo es en C. ¿Cuáles son las vulnerabilidades más comunes?
  • Inyección de código SQL
  • XSS
  • Inclusión de archivos PHP

Aunque reconozco, por mi experiencia, que esto no es único en PHP. Las aplicaciones escritas en ASP también hace gala de este tipo de problemas.

Por último, uno de los principales auditores del grupo de PHP, Stefan Esser, deja el grupo de seguridad. ¿Y qué se tiene para escribir código PHP seguro?. Pues por ejemplo la guía del PHP Security Consortium, este artículo y este otro en OnLamp o el propio blog de Stefan Esser

Technorati Tags: ,

Publicado por el

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)