La seguridad va en el desarrollo de diseño, en este caso podemos utilizar el Threat model, que permitir identificar posibles vulnerabilidades.
Ingeniería Social. Técnicas de manipulación que usan los atacantes para engañarte haciendo que realices alguna acción determinada y con esto obtener tu información personal (como usuario y contraseña) con fines maliciosos.
Phishing. Se trata de la suplantación de identidad mediante el envío de correos electrónicos. En estos casos el atacante se hace pasar por un contacto de confianza, una empresa o marca reconocida para robar tu información personal (usuario y contraseña) o hacerte descargar y ejecutar un archivo maliciosos que afecte tu dispositivo.
Falsificación de Petición Lado Servidor (SSRF)
SQL inyección. SQL Injection is a vulnerability where an unauthorized user manages to influence or change the queries that are sent to the database. Specifically, special characters in the input data from the user, for instance, an input field in a search form, could get interpreted by SQL as being part of the query commands rather than being user data. An attacker can exploit this vulnerability by getting unauthorized access to data, dropping database tables, altering data, etc. You can protect your application from SQL Injection by never using string concatenation when constructing queries. Instead, use a standard framework for database operations that offers an API for executing parameterized queries with bind variables, hence utilizing the framework's built-in escape mechanism which ensures that the user supplied data will never be executed as a SQL statement. Para mitigar un SQLi se recomienda usar "prepared statements", herramienta que permite armar y precompilar la consulta de tal manera que su estructura no pueda ser modificada y solo permita asociar datos a los parámetros predefinidos.
Herramientas en desarrollo