Ataques de seguridad en aplicaciones web PHP

Sí, definitivamente hay mucho más. Le sugiero que comience leyendo sobre el Top 10 de OWASP . Cada desarrollador web debe estar familiarizado con cada una de esas categorías de amenazas.

Además, aquí hay algunas buenas introducciones a la seguridad web:

• Un excelente resumen para los desarrolladores - esta debería ser una lectura obligatoria para todos los programadores que realizan desarrollo web.
• Tutoriales de seguridad web en Google Code University

P.S. Algunas otras categorías para asegurarse de que conoce: recorrido de ruta, administración de sesión, almacenamiento seguro de contraseñas, clickjacking, phishing, SSL en todo el sitio.

SANS publica una lista de Los 25 errores de software más importantes cada año. Algunos (o más) de estos serán relevantes para su aplicación.

Es posible que haya otras vulnerabilidades en su producto que no estén cubiertas en las listas SANS u OWASP, pero estos son un buen lugar para comenzar. Debido a que son tan comunes, los atacantes (incluidos los niños con guión) y los investigadores podrán encontrar y explotar las vulnerabilidades que se encuentran aquí muy rápidamente. También es un excelente ejercicio para tratar de identificar estas vulnerabilidades en su código, averiguar cómo las resolverá, ya sea que tenga (o necesite) alguna herramienta para ayudar y cómo encajará ese trabajo en su ciclo de desarrollo para garantizar Las vulnerabilidades no se reintroducen.

En algún momento, deberás salir por tu cuenta y examinar tu aplicación específicamente. Esa es la única forma en que encontrará problemas específicos de su dominio, observando cómo los usuarios usan su aplicación y cómo "sus" atacantes la abusan.

Tal vez quieras echar un vistazo a esta publicación .

Veo algunos puntos más (que no se mencionan en owasp top 10 tampoco)

• Ejecución remota de código : se puede mitigar con php. ini / disable_functions
• DOS