Top Ten OWASP

Cosa è OWASP? Il progetto Open Web Application Security Project (OWASP) è stato creato per aiutare le aziende e le organizzazioni a capire e migliorare la sicurezza delle loro applicazioni e dei servizi web. La Top Ten è stata creata per focalizzare l?attenzione verso le vulnerabilità più critiche. La sicurezza delle applicazioni web è diventata un argomento fondamentale dal momento che moltissime aziende cercano di rendere disponibili in rete un numero sempre più crescente di contenuti e servizi. Nello stesso tempo, gli hacker hanno rivolto l?attenzione verso gli errori di sviluppo comunemente inseriti dagli sviluppatori. Vediamo insieme questa lista :

Le vulnerabilità più critiche delle Applicazioni Web [guide]
  • A1
    Unvalidated Input
    Le informazioni ricevute a seguito di una richiesta, non vengono validate dall?applicazione web. Questa tecnica può essere utilizzata per accedere alla parte di backend attraverso l?applicazione web in questione.
  • A2
    Broken Access Control
    Non vengono applicate restrizioni appropriate su quello che possono fare o meno gli utenti. Un utente malintenzionato può accedere ad account di altri utenti, visualizzare file sensibili o utilizzare funzionalità non autorizzate.
  • A3
    Broken Authentication and Session Management
    Le credenziali degli account e i token di sessione non sono protetti in modo adeguato. In questo modo possono essere compromesse le password, le chiavi, i cookie di sessione oppure altri token che permettono di bypassare le restrizioni di autenticazione per poter assumere un altra identità.
  • A4
    Cross Site Scripting (XSS) Flaws
    L?applicazione web può essere utlizzata come strumento per sferrare un attacco sul browser dell?utente finale. Con questa vulnerabilità è possibile carpire il token di sessione, attaccare la macchina locale, oppure accedere ai contenuti protetti dell?utente attaccato.
  • A5
    Buffer Overflows
    In alcune applicazioni web, alcuni componenti non eseguono un controllo formale sui caratteri in ingresso di alcune forme di linguaggio particolari. Ciò causa un crash dell?applicazione, fornendo la possibilità di prendere controllo di un processo. Queste componenti possono essere CGI, librerie, drivers e componenti dell?application server web.
  • A6
    Injection Flaws
    Alcune applicazioni web scambiano dei parametri quando accedono a parti esterne del sistema o al sistema operativo installato in locale. Se un utente malintenzionato riesce ad incapsulare dei comandi dannosi all?interno di questi parametri, il sistema esterno può eseguirli dietro comando dell?applicazione web
  • A7
    Improper Error Handling
    Sono condizioni d?errore che si verificano durante normali operazioni quando queste non vengono gestite correttamente. In questo modo è possibile ottenere informazioni su sistema, creare indisponibilità del servizio, causare il blocco di alcuni sistemi di sicurezza oppure far crashare il server.
  • A8
    Insecure Storage
    Le applicazioni web utlizzano solitamente funzioni crittografiche per proteggere I dati e le credenziali di accesso. Tali funzioni e il codice utilizzato per integrarle all?interno dell?applicazione web molto spesso viene realizzato in modo grossolano, causando un indebolimento del sistema di protezione.
  • A9
    Denial of Service
    Un utente può saturare una applicazione web con un numero di richieste pari da non permettere più l?accesso all?applicazione. In questo modo è possibile far disconnettere gli utenti dal proprio account oppure si può bloccare l?intero servizio.
  • A10
    Insecure Configuration Management
    Un?ottima configurazione del server è necessaria per il corretto funzionamento dell?applicazione. Spesso i server hanno un enorme insieme di parametri di configurazione e spesso i settaggi standard non sono adeguati.

Non vi resta che augurarvi buona lettura dei documenti sul sito e darvi i soliti link per approfondire :

Comments are closed.