Apri Menu Chiudi Menu
Scelte concrete e consapevoli
Il giusto strumento per il tuo progetto: soluzioni a 360° per le tue esigenze

OWASP Top 10 - 2021

The Ten Most Critical Web Application Security Risks in 2021E' da pochi giorni uscito (24/09/2021) il nuovo rapporto sulla classifica dei primi 10 problemi di sicurezza degli ultimi tre anni, per le applicazioni web, edito da OWASP, (Open Web Application Security Project®)  la Fondazione FOSS guidata da un'ampia Community che si occupa di sicurezza in maniera proattiva. (...)

Era da un po' che lo si aspettava e finalmente sono stati rilasciati i dati sulla sicurezza degli applicativi web maggiormente significativi degli ultimi tre anni, infatti il precedente report è uscito nel 2017. Per facilitare l'utilità pratica del report in apertura di ogni punto è riportata una breve contestualizzazione per aiutare a capire se tale problema di sicurezza si applica al proprio sito/applicativo web.  

A01: 2021-Broken Access Control.
Se hai un sito con una redazione ampia e/o strutturata, dovresti preoccuparti di questo punto.
In salita dalla quinta posizione hanno avuto più occorrenze nelle applicazioni rispetto a qualsiasi altra categoria. I controlli dei privilegi di accesso vengono eseguiti dopo l'autenticazione e regolano ciò che gli utenti "autorizzati" possono fare.
Il controllo degli accessi sembra un problema semplice, ma è difficile da implementare correttamente dal momento che questo è legato ai contenuti e alle funzioni che il sito o applicativo fornisce e che alcuni utenti possono avere ruoli i cui privilegi si mescolano fra loro rendendo a volte difficile capire se questi siano corretti, sovra o sotto dimensionati. La sovradimensione dei privilegi di accesso è la più insidiosa, dal momento che non genera "problemi" di funzionamento e spesso può restare silente per molto tempo.

A02: 2021-Cryptographic Failures.
Se hai un sito di eCommerce o che in ogni caso tratta dati sensibili degli utenti dovresti prestare particolare attenzione a questo punto.
In salita nella classifica di una posizione, porta all'esposizione di dati sensibili e/o alla possibile compromissione del sistema. Quando i dati transitano da e verso il sito o applicativo web in chiaro o quando sono protetti da algoritmi di crittazione non sicuri, possono essere intercettati e utilizzai da un attaccante. Utilizzare sempre transizioni protette (https/sFTP/smtp, etc) e passare a protocolli di crittazione aggiornati non appena questi sono messi a disposizione dalla comunità o dal proprio fornitore di servizio di hosting.

A03: 2021 - Injection.
Se hai un sito o applicativo web "dinamico", ossia che permette forme di interazione con l'utente, o che genera contenuti in base a parametri che possono cambiare nel tempo, dovresti porre attenzione a questo punto.
Scivola dalla prima alla terza posizione in tre anni, bene, ma in ogni caso non va trascurato perché la potenza dei Bot che effettuano questo tipo di attacco è in crescita continua. Qualsiasi form presente sul sito (cerca nel sito, contatti, iscriviti alla newsletter, etc) dovrebbe essere validato e/o codificato in modo tale che i possibili codici di attacco inviati vengano correttamente protetti dall'invio libero, sanificati e codificati.

A04: 2021-Insecure Design.
Se hai un applicativo web personalizzato o creato appositamente per le tue esigenze avresti dovuto preoccuparti di questo punto
Se utilizzi invece applicativi di community da anni sviluppati, testati e verificati da centinaia di sviluppatori la "Security by Design" è una cosa che, sopratutto negli ultimi anni, viene presa seriamente in considerazione.  I difetti di progettazione sono un problema grosso dal momento che un design insicuro non può essere risolto con un'implementazione/configurazione perfetta. Purtroppo è come aver messo a protezione dell'ingresso di casa, una tenda e non una porta blindata, allarmata e con più serrature. Si potrà cambiare il tessuto della tenda, renderla più ampia, mettere degli ancoraggi che la rendano più stabile, ma sempre una tenda rimane.

A05: 2021-Security Misconfiguration.
Se possiedi un sito complesso, che ha ormai diversi anni alla spalle (e quindi probabilmente sono stati installati diversi plugin e/o estensioni) dovresti preoccuparti di questo punto.
In salita di una posizione anche grazie alla tendenza attuale di creare software complessi e altamente configurabili. Ogni "pezzo di software" o funzionalità non utilizzata effettivamente andrebbe rimossa o disabilitata al fine di ridurre le possibili vulnerabilità presenti online.
Nel tempo andrebbe previsto un processo di revisione sistematica e periodica di ciò che è installato e configurato in ogni sito/applicativo web, così come ogni dato di protezione di accesso utilizzato di default, per test, o solo temporaneamente (da anni) andrebbe verificato. Ma soprattutto, se non si hanno esigenze di un sito web dinamico (vedi punto A04 qui sopra) progettare fin dall'inizio un sito statico in modo da ridurre a zero i rischi di sicurezza.

A06: 2021 - Vulnerable and Outdated Components.
Se hai un sito/applicativo web da diversi anni dovresti preoccuparti di questo punto.
Con il passare del tempo si ha la tendenza a lasciare siti e applicativi web così come sono nati. Questo determina spesso l'obsolescenza dei software installati e/o usati dal sito, con l'esposizione di vulnerabilità divenute note e "Proof of Concept" (ossia disponibili in rete interamente spiegate e funzionanti). Con il passare del tempo andrebbe effettuato un monitoraggio e aggiornamento di qualsiasi "pezzo" di applicativo, anche se ormai non più attivo, ma ugualmente raggiungibile online.

A07: 2021 - Identification and Authentication Failures.
Se hai un sito dinamico "Self Made" o molto "Customized" dovresti prestare attenzione al punto.
In caduta dalla posizione 2 nel rapporto del 2017, ma ancora un possibile problema nel caso di ricorso alla scrittura di codice per implementare funzionalità spesso già presenti online, che oltre ad avere dei costi extra non giustificati, porta con se' possibili errori e bug. Utilizzare dei Framework/CMS/Applicativi Web con ampie community riduce di molto questo tipo di problematiche.

A08: 2021-Software and Data Integrity Failures.
Se hai un sito/applicativo web dinamico che interagisce con altri software, API e/o utenti dovresti prestare attenzione a questo punto.
E' una nuova categoria per l'analisi OWASP 2021, basata sulle assunzioni fatte su aggiornamenti software, dati critici e sistemi di sviluppo e rilascio di software online, senza una verifica di integrità adeguata. Questo può portare alla compromissione del sistema per esecuzione di codici malevoli o non adeguati.

A09: 2021-Security Logging and Monitoring Failures.
Se hai un applicativo/sito Web che tratta dati sensibili o da cui è possibile effettuare acquisti o che in ogni caso consente di loggarsi dovresti preoccuparti di questo punto.
Il monitoraggio dei tentativi falliti di login e delle procedure di sicurezza di uso dell'applicativo web servono per tenere traccia dei tentativi di studio o intrusione in un applicativo online, senza queste procedure, o se agli esiti di queste procedure non viene dato seguito, queste violazioni non possono essere rilevate fino a che non si manifestano nella loro forma più grave, la compromissione del sistema.

A10:2021-Server-Side Request Forgery.
Se hai un sito/applicativo web dinamico che interagisce con altri software, API e/o utenti dovresti prestare attenzione a questo punto.
I difetti SSRF si verificano ogni volta che un'applicazione Web recupera una risorsa remota senza convalidare l'URL fornito dall'utente. Consente a un utente malintenzionato di costringere l'applicazione a inviare una richiesta predisposta per un dato ambito a una destinazione imprevista. I servizi cloud e la complessità delle architetture rende questo tipo di attacco sempre più attuale e grave.

Le ottime Infografiche e il documento pdf finale non sono ancora disponibili.