A quattro anni dall’ultima iniziativa simile, la community di OWASP ( Open Web Application Security Project ) ha rilasciato il rapporto aggiornato sui “dieci principali rischi di sicurezza critici per le applicazioni Web” riferito all’anno 2017. Uno studio che evidenzia la popolarità degli attacchi “classici” ma anche la crescita di popolarità delle nuove minacce.
OWASP ha più volte pubblicato in passato la sua “Top 10” di attacchi contro le Web application, e la versione 2017 arriva a quattro anni di distanza dall’ultimo rapporto. Nella lista sono presenti tre nuove minacce , mentre due rischi precedentemente indicati in posizioni separate sono stati accorpati in uno solo.
Le prime tre posizioni della Top 10 di OWASP per il 2017 sono quindi occupate dai rischi di code injection (primo anche nel 2013), con l’invio di dati non autorizzati per mezzo di falle nei sistemi SQL, NoSQL e altri, quelli di broken authentication (secondo) con un’implementazione incorretta delle autenticazioni e della gestione delle sessioni, e quelli di esposizione di dati sensibili (sesto posto) dovuti ad API e applicazioni Web non adeguatamente sicure.
Il resto dei rischi OWASP includono poi la new entry delle entità XML esterne, controlli di accesso non funzionanti (in precedenza indicati come rischi separati), configurazioni di sicurezza errate, attacchi XSS, de-serializzazioni insicure, componenti con vulnerabilità note, sistemi di monitoraggio insufficienti.
Nata dal contributo di 40 diverse società di sicurezza e da un’indagine che ha coinvolto 500 protagonisti dell’industria, la ricerca di OWASP non rappresenta uno “standard” di per sé ma è stata in questi anni adottata come linea guida ufficiale da parte di cacciatori di bug, team di sicurezza enterprise e non solo.
Alfonso Maruccia
Ti potrebbe interessare
22 nov 2017