Preocupaciones de seguridad sobre el script PHP comprado (aplicación web)

Question

Preocupaciones de seguridad sobre el script PHP comprado (aplicación web)

#1 de DarkLighting (2 votos)

4

He estado pensando en comprar un script PHP ya preparado (es decir, una aplicación web) que proporcione una funcionalidad específica. Digamos, por ejemplo, uno de estos vendidos por Agriya:

enlace

La preocupación que tengo acerca de estos es cómo evaluar la seguridad de este tipo de script. No solo existe una preocupación acerca de si la "mala programación" puede haber introducido errores, sino también si el proveedor ha agregado intencionalmente alguna puerta trasera.

Principalmente, mi preocupación se relaciona con la seguridad de los pagos, ya que el sitio web aceptaría pagos con tarjeta de crédito o PayPal.

¿Es la única opción simplemente "no comprarlo si no puedo confiar en el proveedor de software", o hay algunas cosas que se pueden hacer (preguntas específicas para preguntar, cosas que se deben verificar, etc.) para minimizar los riesgos? ¿Es caro que un tercero revise este tipo de scripts?

php

pregunta coderworks 17.12.2014 - 06:15

fuente

1 respuesta

Lea otras preguntas en las etiquetas php

¿Cómo protege Dropbox el hecho de no compartir contenido con derechos de autor? aplicación de iOS pentest sin jailbreak

score 2 · Accepted Answer

A menos que la compañía le diga que ha sido auditada por alguna compañía de seguridad (y según la compañía que la evaluó), nunca lo sabrá hasta que lo revise usted mismo.

La confianza es una cosa complicada ... Es difícil de ganar y muy fácil de dejar en el camino.

Uno de los que piensa que puede hacer es hablar con Agriya y decirles que está interesado en sus productos, pero desconfíe de las prácticas de desarrollo seguro que emplean. Pregúnteles si han realizado una evaluación de seguridad exhaustiva en los programas y si la respuesta es "No", pregúnteles qué harían si alguien encuentra errores en ellos.

@ jeroen-it-nerdbox planteó un problema importante. Estas cosas podrían paralizar su negocio y un proceso de corrección fuerte Y rápido es de vital importancia para usted y sus clientes.

Sobre el precio de una evaluación de seguridad en el código, depende de la compañía que realice la auditoría. Mi departamento no tiene vínculos con el área comercial de la empresa, por lo que no puedo ayudarlo con eso.