¿Existen prácticas estándar para proteger contra el ingreso de enlaces maliciosos en forma pública?

2

Un sitio web en el que estoy trabajando necesita tener un formulario para que cualquier visitante envíe una solicitud de información sobre un servicio. El usuario no necesitará crear una cuenta, y los detalles de contacto son solo una parte del formulario. El usuario también puede ingresar un mensaje de forma libre. Esta información debe ser enviada a alguien que no sea técnico y que se pondrá en contacto con ellos para solicitar servicios. (Así que sí, esto es más o menos material de marketing).

Mi preocupación es que el usuario pueda ingresar algo malicioso. Obviamente, puedo hacer algunas cosas para mitigar si intentan ingresar HTML o JavaScript (por ejemplo, evitando el contenido), pero ¿qué sucede si solo ingresan una URL? Algunos clientes de correo electrónico (por ejemplo, Outlook) convierten automáticamente las URL en enlaces en los que se puede hacer clic, incluso si el correo electrónico se envió como texto sin formato. ¿Existe alguna práctica técnica estándar que pueda implementar para proteger al destinatario de esta información de hacer clic ciegamente y terminar en un sitio malicioso? ¿O tengo que confiar en el filtro y el criterio de correo no deseado del usuario (posiblemente aumentado con la capacitación)?

Un punto de aclaración: esta aplicación se está construyendo como un trabajo por contrato, por lo que no tenemos ningún control sobre los sistemas de correo electrónico de las personas que recibirían estas solicitudes.

    
pregunta jpmc26 17.05.2016 - 04:36
fuente

1 respuesta

2

Antes de enviar el correo electrónico, puede capturar todas las URL con una expresión regular y luego enviarlas a Google API de navegación segura para comprobar si son conocidos como maliciosos. Si es así, simplemente no envíe el correo electrónico ni incluya una advertencia.

    
respondido por el Anders 17.05.2016 - 13:17
fuente

Lea otras preguntas en las etiquetas