Todos sabemos que todavía hay códigos vulnerables aún cuando pueden o no ser explotados y encontrados para intentos de piratería. He visto a personas que lo hacen innumerables veces y tienen una solución posiblemente plausible en la que he estado trabajando para esto. Lo único que me falta son las posibilidades y opiniones para esta idea.
Basado en el Firewall de aplicaciones web , planeé crear un complemento vBulletin (primero) para Detecte código no saneado al incluir funciones para todos los códigos no saneados posibles y colóquelo en un cajón de arena. Para reducir los privilegios de cualquier persona sin una clave (ya sea definida por el usuario o generada), el propietario del foro accederá manualmente al panel de control y rechazará qué código se filtra / bloquea o detectará automáticamente qué vulnerabilidades conocidas puede tener el código y otorgará una 404 a cualquier usuario que ingrese código explotable arbitrario como SQLi (acceder a una tabla que no sea la que está en la página) y otros.
Dado que la gente me ha dicho que usar un Firewall de aplicación web tiene muchos desvíos que son simplemente molestos para el pirata informático, me preguntaba si un privilegio de sandboxing y de reducción es una buena idea si mejoro la funcionalidad en vBulletin a través de numerosos complementos productos para que pueda ser al menos un 90% versátil en el tiempo?
Las opiniones son bienvenidas también. Otra cuestión conocida es la mala práctica de codificación. No lo sé todo, pero sé que mis errores y la gente han roto y hackeado a través de mi código para mostrarme. ¿Qué malas prácticas de codificación son conocidas y poco frecuentes / conocidas y comunes en PHP / JS?
Gracias por el tiempo. Si esto cabría en otro sitio de SE, perdón & muchas gracias si se migra.
Editar
Me preguntaba si es una buena idea proteger o no las adiciones a un sitio antes de proteger el sitio en general. Si observamos vBulletin tal como está ahora, las personas siguen creando complementos y productos que no están 100% seguros y conducen a la conclusión de que puede haber código innecesario, saneamiento incorrecto y / o información no transmitida. Esto envolvería el código y lo protegería a través de restricciones de privilegios. Los contras de esto son menos conocimientos sobre la seguridad de los propietarios, pero más tiempo para saber que su sitio web está protegido, ya sea que usted sea vulnerable o no.