Roma – A quattro anni dall’ultima iniziativa simile, la community di OWASP ( Open Web Application Security Project ) ha rilasciato il rapporto aggiornato sui “dieci principali rischi di sicurezza critici per le applicazioni Web” riferito all’anno 2017. Uno studio che evidenzia la popolarità degli attacchi “classici” ma anche la crescita di popolarità delle nuove minacce.
OWASP ha più volte pubblicato in passato la sua “Top 10” di attacchi contro le Web application, e la versione 2017 arriva a quattro anni di distanza dall’ultimo rapporto. Nella lista sono presenti tre nuove minacce , mentre due rischi precedentemente indicati in posizioni separate sono stati accorpati in uno solo.
Le prime tre posizioni della Top 10 di OWASP per il 2017 sono quindi occupate dai rischi di code injection (primo anche nel 2013), con l’invio di dati non autorizzati per mezzo di falle nei sistemi SQL, NoSQL e altri, quelli di broken authentication (secondo) con un’implementazione incorretta delle autenticazioni e della gestione delle sessioni, e quelli di esposizione di dati sensibili (sesto posto) dovuti ad API e applicazioni Web non adeguatamente sicure.
Il resto dei rischi OWASP includono poi la new entry delle entità XML esterne, controlli di accesso non funzionanti (in precedenza indicati come rischi separati), configurazioni di sicurezza errate, attacchi XSS, de-serializzazioni insicure, componenti con vulnerabilità note, sistemi di monitoraggio insufficienti.
Nata dal contributo di 40 diverse società di sicurezza e da un’indagine che ha coinvolto 500 protagonisti dell’industria, la ricerca di OWASP non rappresenta uno “standard” di per sé ma è stata in questi anni adottata come linea guida ufficiale da parte di cacciatori di bug, team di sicurezza enterprise e non solo.
Alfonso Maruccia
-
firmware?
Per Tp-Link l'aggiornamento firmware è come una mentina in un letamaio.Meglio direttamente girarci alla larga da quei prodotti scadenti e poco affidabili.... -
Cinesate...
... d'altronde quello sono -
Ahem
Se non si vuole incappare in sorprese sgradite, o per lo meno si vuole limitarle, è consigliabile evitare ogni vendor "domestico". L'IT non è per questi soggetti. -
a gratis
Liberthà!Honestà!https://www.dd-wrt.com/site/support/router-database-
Re: a gratis
- Scritto da: iDiota
Liberthà!
Honestà!
https://www.dd-wrt.com/site/support/router-databasNon mi sembra necessario. Qui il problema è che i cinesi non vogliono spendere troppo per aggiornare le pagine in tutte le lingue, basta fare come dovrebbe fare qualunque sistemista decente, imparare l'inglese e non affidarsi alle pagine locali. E' più un problema per gli utenti meno esperti, ma dubito che loro andrebbero a cercarsi alternative tipo dd-wrt.-
Re: a gratis
- Scritto da: 2d397f65ac7
- Scritto da: iDiota
Liberthà!
Honestà!
https://www.dd-wrt.com/site/support/router-databas
Non mi sembra necessario. Qui il problema è che i
cinesi non vogliono spendere troppo per
aggiornare le pagine in tutte le lingue, basta
fare come dovrebbe fare qualunque sistemista
decente, imparare l'inglese e non affidarsi alle
pagine locali. E' più un problema per gli utenti
meno esperti, ma dubito che loro andrebbero a
cercarsi alternative tipo
dd-wrt.A me sembra che il problema sia su due tipi: da una parte firmware non aggiornabile anche dopo che vngono scovate nuove falle molto pericolose (la traduzione è l'ultimo dei problemi), dall'altra parte c'è una cosa che rimarrà irrisolta per decenni ancora, e cioè voler rendere semplici dispositivi complessi per darli alla "massa". Abbiamo router e frigoriferi con linux, televisioni con android, di tutto e di più e poi si spera che un normale utente faccia l'update dei firmware sempre che questi vengano rilasciati? dai, cerchiamo di essere seri...-
Re: a gratis
A me sembra che il problema sia su due tipi: da
una parte firmware non aggiornabile anche dopo
che vngono scovate nuove falle molto pericolose
(la traduzione è l'ultimo dei problemi),Questo non è scritto nell'articolo, anzi è proprio l'opposto. Hai qualche link ne che parla? -
Re: a gratis
- Scritto da: sysadmin
- Scritto da: 2d397f65ac7
- Scritto da: iDiota
Liberthà!
Honestà!
https://www.dd-wrt.com/site/support/router-databas
Non mi sembra necessario. Qui il problema è
che
i
cinesi non vogliono spendere troppo per
aggiornare le pagine in tutte le lingue,
basta
fare come dovrebbe fare qualunque sistemista
decente, imparare l'inglese e non affidarsi
alle
pagine locali. E' più un problema per gli
utenti
meno esperti, ma dubito che loro andrebbero
a
cercarsi alternative tipo
dd-wrt.
A me sembra che il problema sia su due tipi: da
una parte firmware non aggiornabile anche dopo
che vngono scovate nuove falle molto pericolose
(la traduzione è l'ultimo dei problemi),
dall'altra parte c'è una cosa che rimarrà
irrisolta per decenni ancora, e cioè voler
rendere semplici dispositivi complessi per darli
alla "massa". Abbiamo router e frigoriferi con
linux, televisioni con android, di tutto e di più
e poi si spera che un normale utente faccia
l'update dei firmware sempre che questi vengano
rilasciati? dai, cerchiamo di essere
seri...Se le 'masse' vogliono essere alla moda con 'aggeggi modernisti' e giusto he ne paghino le conseguenze... gli e piaciuto il LUSH... e ora trabballassero. (rotfl)
-
-
-
