Come scoprire se le mie applicazioni web-based sono protette

I servizi web-based oggi dipendono per la maggior parte da database che memorizzano tutte le informazioni rielaborare dai software.
Tra le minacce più pericolose per i software web-based abbiamo certamente identificato SQL Injection e gli attacchi XSS.

Nonostante tutto, le organizzazioni stanno via via prendendo coscienza dell’enorme problema generato da queste infrastrutture. Se da un lato la corsa alla digitalizzazione ha richiesto maggiori competenze per lo sviluppo e l’implementazione di tecnologie di automazione attraverso i software web dall’altro nasce l’esigenza di pretendere maggiore sicurezza come parte cruciale dell’offerta e per giunta, con la massima priorità.

A tal proposito, l’introduzione di ambienti complessi guida l’adozione di nuovi servizi come Application Programming Interfaces (ovvero le API).
API si configurano come la nuova sfida per eccellenza nel campo delle Web-Application security poiché necessitano certamente di una maggiore prevenzione e capacità di rilevamento minacce.

In questo articolo certamente ci impegneremo ad esaminare il panorama delle minacce delle applicazioni web e comprendere come possiamo proteggerle.

Come abbiamo già anticipato ai nostri lettori, l’operatività delle aziende nel 2022 viene garantita anche grazie al supporto dei software web-based. Tuttavia, la natura globale di Internet espone le applicazioni Web agli attacchi da diversi punti e a diversi livelli di portata e complessità.

Dunque, oltre alla funzionalità vi siete mai posti il problema della sicurezza?
Siete sicuri che le vostre applicazioni web-based siano adeguatamente protette?

Secondo le statistiche, tra le applicazioni web oltre il 66% sono vulnerabili.

Tra le aziende che hanno subito attacchi informatici negli mesi ritroviamo Google, Facebook, Yahoo, Microsoft, Apple, PayPal e molti altri.
Questo succede perché la ricerca di vulnerabilità nelle web application comporta lo studio e l’analisi di diversi aspetti architetturali delle applicazioni, risultando un’operazione tutt’altro che gestibile, anche per i migliori esperti IT.

Per scoprire se le applicazioni web-based sono protette il primo passo da compiere è sicuramente quello di conoscere il nemico con cui hai a che fare: quali sono i principali rischi di sicurezza a cui le applicazioni web sono esposte.
Tra le più importanti e pericolose vulnerabilità web che ogni giorno minacciano i vostri software esistono le Top 10 OWASP 2021.

Approfondiamo meglio l’argomento.

OWASP, acronimo di Open Web Application Security Project, è un’organizzazione no-profit riconosciuta a livello internazionale, nata con l’obiettivo di supportare gli sviluppatori web.
L’organizzazione OWASP si occupa di sviluppare e divulgare al mondo intero linee guida, standard di sicurezza e best practice per difendere i software o siti web dalle minacce informatiche.

Tra i diversi standard di web security rilasciati dalla community OWASP, è presente una lista, resa pubblica per la prima volta nel 2003, che ha lo scopo di sensibilizzare gli sviluppatori proprio sui più gravi pericoli che minacciano le applicazioni web. Si tratta della celebre OWASP Top 10 che attualmente è fissata alla versione del 2021.

OWASP Top 10, è un documento di sensibilizzazione standard per gli sviluppatori e la sicurezza delle applicazioni web e rappresenta un ampio consenso sui rischi per la sicurezza più critici per le applicazioni web. La lista delle Top 10 OWASP è il minimo indispensabile e solo un punto di partenza per impostare la sicurezza delle applicazioni web-based.

All’interno di questo documento, che viene aggiornato a seconda dell’evoluzione dei rischi, troviamo la lista dei principali rischi per la sicurezza delle applicazioni web-based.

Attualmente, la lista delle Top 10 OWASP 2021 ha surclassato la versione precedente (OWASP Top 10 2017) introducendo tre nuove categorie di vulnerabilità e modificato le restanti.

Per capire se le tue applicazioni web sono protette, quindi, andiamo a scoprire quali sono i rischi descritti nella più recente OWASP Top 10, risalente al 2021. 

OWASP Top 10 2021

1. A01:2021-Broken Access Control

2. A02:2021-Cryptographic Failures

3. A03:2021-Injection

4. A04:2021-Insecure Design

5. A05:2021-Security Misconfiguration

6. A06:2021-Vulnerable and Outdated Components

7. A07:2021-Identification and Authentication Failures

8. A08:2021-Software and Data Integrity Failures

9. A09:2021-Security Logging and Monitoring Failures

10. A10:2021 – Server-Side Request Forgery (SSRF)

Al primo posto troviamo la vulnerabilità Broken Access Control, quattro anni fa in quinta posizione.
Con questa espressione si intende la non corretta applicazione delle restrizioni a cosa può o non può fare un utente. Gestendo i permessi in maniera non corretta all’interno di un’applicazione web-based di fatto si acconsente a concedere l’utilizzo di funzioni che richiederebbero privilegi elevati anche a semplici utenti.

Pensate che la percentuale di applicazioni web testate e risultate aventi il problema del Broken Access Control è addirittura il 94%.

Al secondo posto della lisa delle OWASP Top 10 2021 ritroviamo la vulnerabilità precedentemente nota come Sensitive Data Exposure (esposizione di dati sensibili) oggi indicata come Cryptographic Failures.
In questa categoria di vulnerabilità rientrano gli errori relativi alla crittografia che spesso portano all’esposizione, a volte pubblica, di dati sensibili o alla compromissione del sistema.

Al terzo posto: injection. Con il termine injection si intende indicare letteralmente l’iniezione di codice malevolo. Ovvero, la vulnerabilità in questo caso indica ciò che succede quando alcuni dati vengono inviati ad un interprete che non li gestisce correttamente, permettendo all’hacker di accedere ad informazioni riservate o di far eseguire comandi al software.

Al quarto posto della classifica ritroviamo una nuova categoria di vulnerabilità introdotta proprio per la versione del 2021.
Questa vulnerabilità web prende in esame, con particolare attenzione, tutti i rischi legati ai difetti di progettazione.
Una progettazione errata del software web comporta infatti gravi rischi, che sarebbe bene prevenire con un maggiore utilizzo della threat modeling, schemi di progettazione sicuri e architetture di riferimento.

Al quinto posto, il Security Misconfiguration: qui si parla di configurazioni errate o poco precise a livello di sicurezza.
Ben il 90% delle applicazioni web esistenti presenta problemi legati a qualche forma di configurazione errata.

Al sesto posto, precedentemente indicata con il termine Using Components with Known Vulnerabilities viene identificata la tipologia di vulnerabilità che viene rilevata solitamente in librerie, framework e qualsiasi software di terze parti, che tuttavia, può compromettere la sicurezza dell’intera applicazione.
Un problema noto ma che purtroppo fatica ad essere testato e ponderato.

Precedentemente noto come Broken Authentication, al settimo posto abbiamo Identification and Authentication Failures. In questo caso l’identificazione e l’autenticazione non sono gestite correttamente e l’hacker può rubare password, chiavi, sessioni, cookie per impersonare altri utenti.

All’ottavo posto troviamo una nuova categoria per il 2021, Software and Data Integrity Failures.
Questa vulnerabilità è incentrata sull’elaborazione di ipotesi relative agli aggiornamenti software, ai dati critici e alle pipeline CI/CD, sottovalutandone la verifica dell’integrità, il che può comportare gravissimi problemi e compromettere intere piattaforme.

Al nono posto: gli errori di registrazione e monitoraggio della sicurezza, chiamati Security Logging and Monitoring Failures. In questo caso, parliamo dell’insufficiente monitoraggio e mancata integrazione di processi di incident response, la gestione degli incidenti di sicurezza informatica, che può comportare la persistenza dell’hacker nei propri sistemi.

Al decimo posto della lista troviamo la SSRF, Server-Side Request Forgery, che possiamo tradurre con falsificazione delle richieste lato server.
Si tratta di una vulnerabilità della sicurezza Web che consente la modifica, l’estrazione o la pubblicazione di dati sfruttando un URL sull’applicazione lato server.

Quelli appena descritti sono, in ordine, i principali rischi in cui le tue applicazioni web-based potrebbero incorrere.
Averli presenti è già un grande passo per la scelta dei giusti passi da compiere per scoprire se le tue applicazioni sono davvero in pericolo.

Sebbene queste operazioni possano essere molteplici e complesse, ti suggeriamo sempre di partire proprio dalla OWASP Top 10 2021 per delineare la sicurezza di base dei tuoi software web.

Di seguito, alcune delle importanti operazioni che il tuo team di sviluppo dovrebbe compiere in fase di progettazione e implementazione delle applicazioni web per renderle protette e sicure.

Sebbene possa sembrare ovvio, a bordo dei software web-based non vengono implementati sufficienti strati di protezione.

Ecco per quale motivo di seguito elencheremo 5 consigli rapidi che possono in qualche modo essere considerate le best practice per la sicurezza delle applicazioni web:

1. Implementa fin dalle prime fasi di sviluppo di un’applicazione degli step di lavoro al raggiungimento dei quali introdurre un sistema di controllo della sicurezza web-based: la migliore soluzione è quella di programmare regolari Web Vulnerability Assessment.
2. Cripta ogni genere di informazione che transita all’interno del software.
   Il processo non dovrà interferire con la corretta operatività dell’applicazione web-based: tuttavia ogni genere di dato è opportuno che venga protetto.
3. Gestire la restituzione dei messaggi di errore del software: i messaggi di errore del software web devono essere generici al massimo. Non deve essere indicato alcun codice o riferimento alla tipologia di problema rilevato che possa in qualche modo fare riferimento all’entità del danno.
4. Porre attenzione a autenticazione e gestione degli accessi al software web.
   Gli account degli utenti che accedono alle risorse devono essere correttamente gestiti.
   Ad ogni utente va assegnato il minor numero possibile di privilegi; così facendo si ridurrà la possibilità intrusioni o accesso inappropriato alle informazioni. Tutti i meccanismi di autenticazione devono poter prevedere la durata massima delle password, il blocco degli account e la protezione SSL per le password.
5. Eseguire scansioni e aggiornamenti regolari delle vulnerabilità.
   In media ogni 24 ore vengono rilevate 50 nuove vulnerabilità per le infrastrutture web. Per questo motivo è necessario implementare un sistema automatico e controllato da società terze che possa monitorare la sicurezza del software web. Una di queste soluzioni è proprio il Vulnerability Assessment per web application.

Le dinamiche relative al mondo delle web app stanno cambiando rapidamente.
Per qualunque azienda è fondamentale occuparsi della sicurezza delle applicazioni Web per evitare perdite finanziarie.

Fortunatamente, gestire la sicurezza delle applicazioni è un compito che possono facilmente gestire aziende specializzate nella sicurezza IT attraverso servizi differenti.

Cyberment è un’azienda specializzata in consulenza di sicurezza informatica.

Il nostro team di specialisti cyber security vanta un’esperienza decennale nel settore e ci occupiamo di identificare le vulnerabilità informatiche nei sistemi informatici e nelle applicazioni web.

Cyberment ha 3 sedi dalle quali studia con costanza l’evoluzione delle minacce informatiche: Milano, Mantova e Londra. Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci e parlaci dei problemi della tua azienda.