¿Recopilar información de tarjetas de crédito es la única intención de los piratas informáticos? [cerrado]

Para responder a su pregunta: NO , los hackers tienen muchos motivos para atacar un sitio. La información de la tarjeta de crédito es solo una de esas.

Habiendo completado yo mismo un proyecto PHP recientemente, nos aseguramos de utilizar las siguientes tácticas para asegurar nuestro sitio: (tenga en cuenta que no almacenamos información de la tarjeta de crédito)

• Obtenga un certificado SSL válido, redirija todas las solicitudes inseguras a https y habilite HSTS
• Valide TODAS las entradas del usuario. No me importa si es un nombre de usuario o un comentario o un encabezado de dirección IP. TODO debe ser validado antes de que toque su código de procesamiento.
  • PHP tiene algunos filtros útiles para validar y desinfectar muchos datos diferentes
  • No dependa de la validación del lado del cliente. Los usuarios malintencionados pueden omitir esto fácilmente.
• Use un WAF con el conjunto de reglas principales de OWASP ModSecurity
  • Si bien un WAF ayuda a detener muchos ataques comunes, solo debe usarse sobre un programa bien diseñado. Su sitio debe estar a salvo de estos ataques sin utilizar un WAF.
• Asegúrese de que las cookies sean httponly y seguras
• Utilice consultas parametrizadas al tratar con la entrada del usuario. La DOP no puede protegerlo si simplemente inserta una cadena de información del usuario en su consulta y luego la pasa.
  • Idealmente, también debería usar consultas parametrizadas cada vez que envíe cualquier datos a la base de datos. AFAIK no afecta notablemente al rendimiento y puede ahorrarle contra inyecciones de SQL.
• Pida a un evaluador de seguridad independiente que eche un vistazo a su sitio. Podrían ver problemas que no notaste
• NUNCA copie y pegue el código sin entender lo que hace. Solo puede proteger correctamente su código si sabe dónde están los posibles problemas.
• No guarde nada que no tenga que hacer. Cuanto más mantengas, mayor será el valor de tus datos para los demás

Aparte de eso, me he vuelto un poco más consciente de la seguridad después de leer los blogs de seguridad (creo que Troy Hunt tiene un excelente blog) y siguiendo un curso de piratería ética de medio año de duración.

Obviamente, hay muchas más formas de asegurar su sitio web, pero esto es todo lo que pude pensar en el momento de escribir.

Los piratas informáticos piratean por muchas razones: para usar su sitio para enmascarar otras actividades, obtener información personal, buscar listas de correos electrónicos / contraseñas que puedan usar en otros lugares, hacer declaraciones, buscar información sobre la información bancaria, encontrar otras personas. información, solo por diversión ...

Si no le prestas atención a la seguridad, serás hackeado. Si no sigue las mejores prácticas, será hackeado. Absolutamente no debe usar MD5: use un algoritmo de hashing de contraseña diseñado específicamente para este fin: MD5 está dañado, use PBKDF2 o similar. Debe preocuparse por el Top Ten de OWASP: la inyección SQL en particular.

Por lo que parece, debe pasar mucho tiempo educándose, comenzar en el sitio de OWASP, o contratar a un experto en seguridad.

No.

Necesitas hacer una evaluación de riesgos. Hay una variedad de metodologías diferentes, pero en general todas incluirán los siguientes pasos.

1. ¿Qué valor ofrece su sitio web?
2. ¿Quién tiene un interés / motivación para degradar ese valor?
   1. los piratas informáticos pueden optar por piratear su sitio para demostrar que pueden hacerlo.
   2. los piratas informáticos pueden optar por piratear su sitio para proporcionar servicios a otros (ha puesto un servidor en Internet; el pirata informático podría eliminar su sitio y ejecutar su propio sitio desde su servidor; soy consciente de los casos de sitios de pornografía que son alojados por personas involuntarias).
   3. Los piratas informáticos pueden optar por piratear su sitio para obtener acceso a datos que son valiosos (que puede ser el número de la tarjeta de crédito, pero también puede ser otra información.
   4. Los piratas informáticos pueden optar por piratear su sitio porque existe la ventaja de degradar la integridad de la información de su sitio. (alteración, limitación, etc.) Si la información que proporciona es valiosa, generalmente hay algún valor en corromper esa información. Los competidores pueden querer aumentar su valor relativo al disminuir su valor.
   5. Los piratas informáticos pueden optar por piratear su sitio porque pueden obtener una ventaja al disminuir su disponibilidad. (Toda la película "The Sting" se basó en esto).
   6. ¿Quién más proporciona servicios / bienes / valor en competencia con los suyos? ¿Quién se verá afectado por los servicios / bienes / valor que proporciona?
3. Si quisiera dañar el valor de su sitio web, ¿qué haría?

En este punto, estás llegando al verdadero riesgo. Es posible que desee examinar el modelo Microsoft STRIDE, el modelo NIST 800-37, OCTAVE, FAIR o una docena de otros modelos para ayudarlo a comprender los riesgos / vulnerabilidades.

Es posible que desees buscar en Google "hackers", que te darán una imagen más amplia y mejor del comportamiento de los hackers que el modelo simple que propones.