Cadenas de texto "comprometedoras"

sqlinjection.png

Filtra los datos de entrada y sanea la salida (filter input, sanitize output) esto es de Seguridad 101, posiblemente las premisas más básicas en cuanto a temas de seguridad informática.

Aunque como bien decía estos son dos conceptos muy básicos, eso no quiere decir que sean fáciles de implementar. Sobre todo el filtrado de la entrada de datos.

Para cada lenguaje (con los que yo he trabajado) existen librerías que te ayudan con esta ardua tarea e incluso algunos soportan al menos de forma parcial este tipo de funcionalidad en el propio lenguaje.

Usemos librerías o no, el testeo de nuestras aplicaciones es fundamental y éste requiere mucho esfuerzo si lo hacemos de forma manual, ya que las permutaciones que se pueden hacer en una entrada de datos es prácticamente infinita.

The Big List of Naughty Strings es un pequeño proyecto alojado en Github que no es más que un fichero de texto, bastante amplio, con cadenas de texto que pueden crear algún tipo de problema en nuestra aplicación. Éste no sólo está enfocado a la seguridad.

Lo interesante es que es muy fácil coger este fichero y añadirlo a nuestros tests, de forma que se los podamos basar de forma fácil y ver como responde nuestra aplicación.

Los ficheros están en formato texto y json, y a su vez, los tienes en texto claro y codificado en Base64.

Nota: no te bases sólo en esta información para probar la seguridad de tus aplicaciones.