La seguridad al 100% no existe en internet. Todos los días surgen nuevos desafíos y peligros que debe tener en cuenta el encargado de la seguridad de una página web personal o de una empresa. Este artículo parte de una frase: “Hack yourself first“, es decir, primero hackeate a ti mismo. Primero ponte en la mente de un posible atacante y revisa tu sitio web para comprobar lo débil que puede ser.
Jeremiah Grossman es un experto de renombre mundial en seguridad de Internet y el fundador de WhiteHat Security, donde supervisa la seguridad web, la I + D. Grossman es un hacker “confeso” y graduado de Maui High que habla en las mejores universidades y conferencias de todo el mundo. En el siguiente video habla del concepto de Hack yourself first.
Curso de Hack yourself first
Existe un curso creado por troyhunt.com que lleva como título Hack Yourself First: How to go on the cyber-offence. Estudia una página web que está llena de agujeros de seguridad y que sirva para explicar muchos conceptos valiosos y que hay que conocer.
Este curso está diseñado para ayudar a los desarrolladores web en todos los marcos a identificar los riesgos en sus propios sitios web antes de que lo hagan los atacantes y se puede utiliza el sitio de ejemplo para demostrar los riesgos. El curso es gratuito y puedes navegar por ese sitio y ver el curso para comprobar tanto los riesgos como las mitigaciones de las posibles amenazas. La base de datos de la página web de ejemplo se reconstruye con frecuencia así que todos los cambios que hagas no serán para siempre.
50 agujeros de seguridad al menos
La prevalencia de ataques en línea contra sitios web se ha acelerado rápidamente y se siguen explotando los mismos riesgos. Sin embargo, estos a menudo se identifican fácilmente directamente dentro del navegador; es solo una cuestión de comprender los patrones vulnerables que se deben buscar. Hay más de 50 agujeros de seguridad en el sitio web y su seguridad es bastante descuidada.
‘Hack Yourself First’ trata de que los desarrolladores desarrollen habilidades de ciberdelincuencia y busquen de manera proactiva las vulnerabilidades de seguridad en sus propios sitios web antes de que lo haga un atacante.
Troy Hunt ha desarrollado un sitio web que él mismo dice que es terrible, lleno de agujeros de seguridad. La dirección del sitio web es https://hackyourselffirst.troyhunt.com/ y va de una página web de coches de lujo.
Herramientas a utilizar
Hay varias herramientas que te van a permitir monitorizar un sitio web. Entre ellas el inspeccionador de eventos de Firefox o Chrome y el Fiddler Web debugging y intruder21. Todas estas herramientas se utilizan en el curso y si vas a seguirlo recomiendo instalarlas.
En el siguiente video puedes ver una presentación hecha por Troy Hunt hablando de su página vulnerable.
