A quattro anni dall’ultima iniziativa simile, la community di OWASP ( Open Web Application Security Project ) ha rilasciato il rapporto aggiornato sui “dieci principali rischi di sicurezza critici per le applicazioni Web” riferito all’anno 2017. Uno studio che evidenzia la popolarità degli attacchi “classici” ma anche la crescita di popolarità delle nuove minacce.
OWASP ha più volte pubblicato in passato la sua “Top 10” di attacchi contro le Web application, e la versione 2017 arriva a quattro anni di distanza dall’ultimo rapporto. Nella lista sono presenti tre nuove minacce , mentre due rischi precedentemente indicati in posizioni separate sono stati accorpati in uno solo.
Le prime tre posizioni della Top 10 di OWASP per il 2017 sono quindi occupate dai rischi di code injection (primo anche nel 2013), con l’invio di dati non autorizzati per mezzo di falle nei sistemi SQL, NoSQL e altri, quelli di broken authentication (secondo) con un’implementazione incorretta delle autenticazioni e della gestione delle sessioni, e quelli di esposizione di dati sensibili (sesto posto) dovuti ad API e applicazioni Web non adeguatamente sicure.
Il resto dei rischi OWASP includono poi la new entry delle entità XML esterne, controlli di accesso non funzionanti (in precedenza indicati come rischi separati), configurazioni di sicurezza errate, attacchi XSS, de-serializzazioni insicure, componenti con vulnerabilità note, sistemi di monitoraggio insufficienti.
Nata dal contributo di 40 diverse società di sicurezza e da un’indagine che ha coinvolto 500 protagonisti dell’industria, la ricerca di OWASP non rappresenta uno “standard” di per sé ma è stata in questi anni adottata come linea guida ufficiale da parte di cacciatori di bug, team di sicurezza enterprise e non solo.
Alfonso Maruccia
-
a gratis
Liberthà!Honestà!https://www.dd-wrt.com/site/support/router-databaseRe: a gratis
- Scritto da: iDiota> Liberthà!> Honestà!> https://www.dd-wrt.com/site/support/router-databasNon mi sembra necessario. Qui il problema è che i cinesi non vogliono spendere troppo per aggiornare le pagine in tutte le lingue, basta fare come dovrebbe fare qualunque sistemista decente, imparare l'inglese e non affidarsi alle pagine locali. E' più un problema per gli utenti meno esperti, ma dubito che loro andrebbero a cercarsi alternative tipo dd-wrt.Re: a gratis
- Scritto da: 2d397f65ac7> - Scritto da: iDiota> > Liberthà!> > Honestà!> >> https://www.dd-wrt.com/site/support/router-databas> > Non mi sembra necessario. Qui il problema è che i> cinesi non vogliono spendere troppo per> aggiornare le pagine in tutte le lingue, basta> fare come dovrebbe fare qualunque sistemista> decente, imparare l'inglese e non affidarsi alle> pagine locali. E' più un problema per gli utenti> meno esperti, ma dubito che loro andrebbero a> cercarsi alternative tipo> dd-wrt.A me sembra che il problema sia su due tipi: da una parte firmware non aggiornabile anche dopo che vngono scovate nuove falle molto pericolose (la traduzione è l'ultimo dei problemi), dall'altra parte c'è una cosa che rimarrà irrisolta per decenni ancora, e cioè voler rendere semplici dispositivi complessi per darli alla "massa". Abbiamo router e frigoriferi con linux, televisioni con android, di tutto e di più e poi si spera che un normale utente faccia l'update dei firmware sempre che questi vengano rilasciati? dai, cerchiamo di essere seri...Re: a gratis
> A me sembra che il problema sia su due tipi: da> una parte firmware non aggiornabile anche dopo> che vngono scovate nuove falle molto pericolose> (la traduzione è l'ultimo dei problemi),Questo non è scritto nell'articolo, anzi è proprio l'opposto. Hai qualche link ne che parla?Re: a gratis
- Scritto da: sysadmin> - Scritto da: 2d397f65ac7> > - Scritto da: iDiota> > > Liberthà!> > > Honestà!> > >> >> https://www.dd-wrt.com/site/support/router-databas> > > > Non mi sembra necessario. Qui il problema è> che> i> > cinesi non vogliono spendere troppo per> > aggiornare le pagine in tutte le lingue,> basta> > fare come dovrebbe fare qualunque sistemista> > decente, imparare l'inglese e non affidarsi> alle> > pagine locali. E' più un problema per gli> utenti> > meno esperti, ma dubito che loro andrebbero> a> > cercarsi alternative tipo> > dd-wrt.> > > A me sembra che il problema sia su due tipi: da> una parte firmware non aggiornabile anche dopo> che vngono scovate nuove falle molto pericolose> (la traduzione è l'ultimo dei problemi),> dall'altra parte c'è una cosa che rimarrà> irrisolta per decenni ancora, e cioè voler> rendere semplici dispositivi complessi per darli> alla "massa". Abbiamo router e frigoriferi con> linux, televisioni con android, di tutto e di più> e poi si spera che un normale utente faccia> l'update dei firmware sempre che questi vengano> rilasciati? dai, cerchiamo di essere> seri...Se le 'masse' vogliono essere alla moda con 'aggeggi modernisti' e giusto he ne paghino le conseguenze... gli e piaciuto il LUSH... e ora trabballassero. (rotfl)Ahem
Se non si vuole incappare in sorprese sgradite, o per lo meno si vuole limitarle, è consigliabile evitare ogni vendor "domestico". L'IT non è per questi soggetti.Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commentiPubblicato il 22 nov 2017Link copiato negli appuntiTi potrebbe interessare
Pubblicato il 22 nov 2017Link copiato negli appunti
