Si hablamos de las ventajas de flexygo siempre sacamos a relucir uno de sus máximos valores y que acuñamos prácticamente como eslogan: "olvídate de la evolución tecnológica que ya nos encargamos nosotros".
Esta frase no solo engloba lo referente a nuevas tecnologías sino temas referentes a vulnerabilidades, y con ella intentamos responder a la pregunta: ¿Lo que desarrollo con flexygo es seguro?
Desde flexygo trabajamos todos los días en solucionar los distintos tipos de vulnerabilidades que van apareciendo y esto forma parte también de nuestro valor en el despliegue continuo. Por eso es importante que vuestros proyectos o vuestros productos flexygo se mantengan actualizados.
Cada semana aparecen vulnerabilidades y sistemas para atacar las webs, tanto si estamos dentro de la aplicación (hemos iniciado sesión) como si no lo estamos, y continuamente trabajamos en mecanismos para evitar los ataques.
En la nueva versión 1.27 de flexygo se ha hecho una revisión completa al tema de ataques, SQLInjection, suplantación de la identidad, etc. Pero es un trabajo continuo a diario que forma parte de nuestro road map de producto.
Cada día los entornos son más seguros, y más vulnerables a la vez, ya que los ataques se realizan con sistemas más rápidos y sofisticados, un ordenador cuántico ya es capaz de descifrar cualquier contraseña de cualquier sistema en segundos.
Ponemos mucho hincapié en evitar vulnerabilidades, pero aún vemos soluciones implementadas sobre sitios no seguros (http).
XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
Un atacante puede realizar una petición post inyectando un string.
Se realizan múltiples ataques de XSS lo cual permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
Se trata de uno de los ataques más peligrosos ya que el código que inyecta el atacante se almacena en tu base de datos.
Los ataques almacenados son aquellos en los que el script insertado se almacena permanentemente en los servidores de destino, como en una base de datos, foro de mensajes, campo de comentarios, etc. La víctima recupera el script malicioso del servidor cuando solicita la información almacenada.
Un usuario no autenticado o un usuario sin privilegios, que puede enviar un evento, puede insertar código JavaScript en la páginas web a través del navegador.
Aprovechando un fallo en la programación de la aplicación, un usuario puede ejecutar consultas en el navegador. Estas consulta sirven para ver , recopilar o modificar información sobre la aplicación atacada.
El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía.
Se refiere a un ataque en el que un atacante puede enviar una solicitud elaborada desde una aplicación web vulnerable. La SSRF generalmente se utiliza para atacar sistemas internos detrás de firewalls que normalmente no son accesibles para un atacante desde la red externa. Además, también es posible que un atacante aproveche la SSRF para acceder a los servicios desde el mismo servidor que está escuchando en la interfaz loopback.
Por tu bien y el de tus proyectos, trata de estar siempre actualizado y al día de todas las novedades de versión que surgen en el ecosistema flexygo.