owasp cos e

OWASP Top 10, sicurezza per le applicazioni web-based

L’Open Web Application Security Project (OWASP) è un progetto dedicato al miglioramento della sicurezza dei software. È basato su un modello di comunità aperto, il che significa che chiunque può partecipare e contribuire in chat a tema OWASP, progetti e altro ancora. Per qualsiasi cosa, dagli strumenti e video online a forum ed eventi, OWASP assicura che le sue offerte rimangano gratuite e facilmente accessibili attraverso il suo sito web.

Indice dei contenuti

  1. Cos’è OWASP e progetto OWASP Top 10
  2. Perché è importante;
  3. I maggiori rischi per la sicurezza nel 2021;

Cos’è OWASP

L’acronimo OWASP sta ad indicare un progetto open source nel campo della sicurezza delle applicazioni web-based che nasce nel 2001. L’iniziativa sin dall’anno della sua creazione ha sempre avuto come obiettivo principe quella di supportare sviluppatori, tecnici e software house verso la creazione di applicativi sempre più sicuri, fornendo linee guida, best practice e pubblicazioni riconosciute a livello internazionale.

L’intera comunità informatica oggi, è perfettamente d’accordo nel dire che le liee guida fornite dalla fondazione OWASP supportano ogni anno centinaia di imprese nella prevenzione di data breach e attacchi hacker web-based.

A oggi, nessuna direttiva OWASP viene considerata obbligatoria in fase di progettazione di un software web-based.

Tra le pubblicazioni più conosciute dalla fondazione senza dubbio c’è il progetto Top 10 OWASP.

Il progetto prende vita a partire dal 2003 con lo scopo di sensibilizzare ulteriormente sviluppatori e progettisti di software sulle minacce che espongono il mondo del web-based a continui attacchi. Si tratta di un elenco delle 10 vulnerabilità di sicurezza che colpiscono le applicazioni  e le espongono al rischio di attacchi informatici. 

Oggi, l’ultima revisione della lista delle OWASP Top 10 risale al 2021, ma prima di quest’ultima, la fondazione aveva rilasciato aggiornamenti costanti: nel 2004, nel 2007, nel 2010, nel 2013 e nel 2017.

La necessità di rivedere periodicamente questa lista di vulnerabilità deriva dalla necessità di riportare tutti i cambiamenti del settore e le rispettive segnalazioni di rischio. L’elenco ha le descrizioni dettagliate di ciascuna categoria di rischi ed i metodi per correggerli.

I rischi inseriti nell’elenco vengono identificati dal loro grado e dall’anno.
Ad esempio, il rischio di massima sicurezza nell’elenco più recente (Top 10 OWASP 2021) è il Broken Access Control a cui è assegnato l’identificatore A01: 2021.

OWASP e progetto OWASP Top 10, perché sono così importanti

Lo scopo di OWASP top 10 è certamente di fornire agli esperti e agli sviluppatori delle applicazioni web un lista di rischi di sicurezza più comuni in modo che possano utilizzare i risultati del rapporto come standard in fase di progettazione e scrittura del software web-based.
Ciò può aiutare a limitare la presenza di tali rischi all’interno delle loro applicazioni.

Prima di OWASP, non c’erano altri standard di sicurezza internazionali per l’identificazione delle vulnerabilità nei software web.
OWASP in questo senso è stata la prima iniziativa open source che documentasse l’evoluzione delle minacce in ambito web-based.

Nel corso degli anni, questo progetto ha aiutato l’intera comunità informatica a:

  • Stabilire uno standard di sicurezza unico e universalmente conosciuto.

  • Rafforzare le misure di sicurezza dei software web;

  • Ridurre il numero di bug e difetti nel codice sorgente.

I rischi più significativi per i software web nel 2021: ecco la lista OWASP Top 10 2021

I 10 rischi di sicurezza OWASP identificati nell’aggiornamento del 2021 sono i seguenti:

  • Broken Access Control

    ogni informazione dovrebbe essere disponibile solo per un gruppo specifico di utenti in base al livello di privilegi che sono che gli è stato concesso.
    Il broken access control può portare a scenari in cui gli utenti possono accedere alle informazioni a cui non dovrebbero accedere.
    Ad esempio, se un utente qualunque può accedere alla pagina di admin anche se non è un amministratore, il suo ruolo non è stato validato correttamente. Questo rischio per la sicurezza può essere mitigato implementando un sistema di controllo degli accessi basato sulla proprietà dei record.

  • Crytpographic Failures

    precedentemente noti come Sensitive Data Exposure (esposizione dei dati sensibili), si concentrano su fallimenti relativi alla crittografia.
    Invece di attaccare direttamente un sistema, gli hacker cercano spesso di rubare i dati mentre sono in transito dal browser dell’utente.
    Per prevenire tali attacchi, è necessario creare un canale di comunicazione sicuro. Per le applicazioni web-based, una soluzione rapida per affrontare questo problema è applicare il protocollo TLS su tutte le pagine.
    Senza di esso, un hacker può monitorare il traffico di rete, declassare la connessione da HTTPS a HTTP e acquisire tutte le informazioni passate in testo chiaro: dati utente, password, cookie di sessione ecc.

  • Injection

    la categoria Injection nella OWASP Top 10 include più tipi di vulnerabilità di sicurezza.
    I più conosciuti sono:
    SQL injection
    OS command injection
    – iniezioni LDAP
    – code injection

  • Insecure Design

    una new entri della OWASP top 10 che racchiude tutti i difetti di progettazione del software web-based.
    Un design insicuro di un applicativo si riferisce ad una struttura che di per sé non ha implementato alcun controllo di sicurezza e manca di efficace scrittura del codice. Un fattore che contribuisce alla reiterazione di questo problema di sicurezza è la completa mancanza di un profilo di rischio aziendale o al sistema che viene sviluppato.

  • Configurazione errata della sicurezza

    i malintenzionati sono consapevoli delle lacune di sicurezza e di come queste possono essere sfruttate a livello tecnico. Gran parte degli attacchi e delle violazioni sono rese possibili attraverso la presenza di configurazioni errate o obsolete tra cui evidenziamo ad esempio le più frequenti:
    – porte di rete aperte non necessarie
    – account con credenziali di accesso di default
    – errori che restituiscono informazioni sull’applicazione.
    In questo caso, è possibile ridurre il rischio di tali attacchi avendo un processo di gestione delle patch in grado di rimuovere le funzionalità superflue, o i file inutilizzati, o il codice non necessario.

  • Componenti vulnerabili e obsoleti

    Si tratta probabilmente della vulnerabilità più complessa da analizzare e rilevare: un problema che tuttavia è noto all’intera community informatica mondiale. Per questo motivo, agli sviluppatori viene sconsigliato di sviluppare codice partendo da componenti già di per sé vulnerabili e obsoleti. Esistono strumenti automatizzati che vi avvisano quando è presente un’aggiornamento più recente di una componente.

  • Errori di identificazione e autenticazione

    nota anche come Broken Authentication in questo caso l’errore fa riferimento ad un processo di autenticazione nel quale manca la conferma dell’identità dell’utente. Infatti, l’attaccante in questo caso riesce ad ottenere l’accesso e assumere l’identità di un altro utente.
    Tra le tipologie di attacchi che sfruttano questa vulnerabilità ritroviamo il credential stuffing, ad esempio.

  • Errori di integrità software e dati

    un’altra nuova categoria subentrata nella OWASP Top 10 è proprio questa. Si riferisce esattamente alle falle di sicurezza che non proteggono dalle violazioni dell’integrità. La situazione più frequente viene determinata dalla presenza di plug-in obsoleti, librerie e moduli da fonti non attendibili.

  • Guasti di registrazione e monitoraggio della sicurezza

    questa categoria è stata implementata in seguito ad un sondaggio effettuato dalla OWASP foundation tra i suoi affiliati: si tratta di una falla di sicurezza che si riscontra quando nei sistemi mancano i processi di incident response.

  • Falsificazione delle richieste lato server

    la falsificazione della richiesta sul lato server si riferisce ai dati che mostrano un tasso di incidenza relativamente basso ma che hanno valutazioni superiori alla media per gli Exploit e il potenziale di impatto.

Cyberment Srl

Cyberment è un’azienda specializzata in consulenza di sicurezza informatica. Il nostro red team è composto da hacker etici e specialisti in cybersecurity che operano in questo settore da oltre 20 anni.

Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.

Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica. Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.

Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!