greatbody
/
freeCodeCamp
mirror of https://github.com/freeCodeCamp/freeCodeCamp.git
1
0
Fork 0
Code Issues Projects Releases Wiki Activity
freeCodeCamp/guide/spanish/php/security/index.md

2.8 KiB
Raw Blame History

title localeTitle
Security Seguridad

Seguridad

Al escribir código PHP es muy importante tener en cuenta los conceptos de seguridad para evitar escribir código vulnerable.

Tipos de vulnerabilidades

  • Falsificación de solicitudes de sitios cruzados Una vulnerabilidad en la aplicación causada por el programador que no comprueba desde dónde se envió una solicitud: este ataque se envía a un usuario de alto nivel de privilegios para obtener un acceso de nivel superior a la aplicación.
  • Secuencias de comandos entre sitios Una vulnerabilidad en la aplicación causada por el programador que no elimina la entrada antes de enviar la entrada al navegador (por ejemplo, un comentario en un blog). Se usa comúnmente para ejecutar javascript malicioso en el navegador para realizar ataques como el robo de cookies de sesión entre otras acciones maliciosas para obtener privilegios de mayor nivel en la aplicación.
  • Inclusión de archivos locales Una vulnerabilidad en la aplicación causada por el programador que requiere una entrada de archivo proporcionada por el usuario y no la desinfecta antes de acceder al archivo solicitado. Esto resulta en un archivo que se incluye donde no debería haber sido.
  • Inclusión remota de archivos Una vulnerabilidad en la aplicación causada por el programador que requiere una entrada de archivo proporcionada por el usuario y no la desinfecta antes de acceder al archivo solicitado. Esto da como resultado que un archivo se extraiga de un servidor remoto y se incluya donde no debería haber estado.
  • Secuestro de sesión Una vulnerabilidad causada por un atacante que obtiene acceso al identificador de sesión de un usuario y puede usar la cuenta de otro usuario haciéndose pasar por él. Esto se usa a menudo para obtener acceso a la cuenta de un usuario administrativo.
  • Adquisición de identificador de sesión La adquisición de identificador de sesión es una vulnerabilidad causada por un atacante que puede adivinar el identificador de sesión de un usuario o explotar vulnerabilidades en la propia aplicación o el navegador del usuario para obtener un identificador de sesión.
  • Inyección de SQL Una vulnerabilidad en la aplicación causada por el programador que no sanea la entrada antes de incluirla en una consulta en la base de datos. Esto lleva a que el atacante tenga lectura completa y, con frecuencia, acceso de escritura a la base de datos. Con este tipo de acceso un atacante puede hacer cosas muy malas.

Más información:

Página de ataques de Wiki OWASP