In una classifica le falle del Web

Roma – Nonostante gli analisti sostengano che la sicurezza sia ormai divenuta una priorità per la maggior parte delle aziende che operano su Internet, il Web continua ad avere l’inquietante apparenza d’una ragnatela foracchiata. A tentare di sensibilizzare le aziende sull’argomento è intervenuta The Open Web Application Security Project ( OWASP ), una comunità open source che sviluppa tool e documentazione per la sicurezza delle applicazioni e dei servizi basati sul Web.

L’OWASP ha rilasciato un rapporto, scaricabile gratuitamente da qui in formato PDF, in cui elenca le 10 maggiori vulnerabilità che affliggono le applicazioni Web. Il documento, secondo l’OWASP, ha lo scopo di aiutare le organizzazioni commerciali e governative a comprendere i più gravi e spesso sottovalutati rischi legati alle applicazioni e ai servizi che interagiscono o si fondano sul Web.

“Un incredibile numero di organizzazioni – afferma Jeffrey Williams, CEO della società di sicurezza Aspect Security – spende fior di quattrini per rendere sicuri i propri network e per un motivo o per l’altro si dimentica delle applicazioni”.

Nella classifica stilata dall’OWASP si incontrano, per ordine di importanza, le vulnerabilità legate alla mancata verifica dei parametri passati alle applicazioni attraverso il protocollo HTTP, il carente controllo degli accessi e delle restrizioni, la cattiva gestione e protezione degli account e delle sessioni, i famigerati cross-site scripting, gli insidiosi buffer overflow, il mancato filtraggio di comandi passati come parametri, la fallace gestione degli errori, l’utilizzo insicuro della crittografia, i buchi legati all’amministrazione remota e all’errata configurazione dei server per le applicazioni e il Web.

“Queste falle sono sorprendentemente comuni e possono essere sfruttate da aggressori anche poco esperti avvalendosi di strumenti facilmente reperibili”, si legge su di un comunicato dell’OWASP. “Quando un’organizzazione mette in piedi un’applicazione Web, essa invita il mondo a spedirgli richieste HTTP. Gli attacchi si celano dietro a queste richieste attraversando firewall, filtri, piattaforme robuste, SSL e IDS senza che in genere le si noti, e questo perché sono mascherate da richieste HTTP legittime. Di conseguenza, il codice delle applicazioni Web è parte della sicurezza perimetrale e non può essere ignorato”.

Da alcuni anni il SANS Institute, in collaborazione con il National Infrastructure Protection Center (NIPC) americano, stila periodicamente una dettagliata classifica delle 20 vulnerabilità più gravi che interessano il Web e, più in generale, tutta Internet. L’ultimo aggiornamento della lista risale allo scorso ottobre e può essere consultato qui .