OWASP, i rischi più pericolosi per le Web application del 2017

L'organizzazione ha pubblicato la lista aggiornata dei peggiori pericoli per le applicazioni Web, con attacchi nuovi e meno nuovi a spartirsi una torta che muta al mutare delle architetture software

Roma – A quattro anni dall’ultima iniziativa simile, la community di OWASP ( Open Web Application Security Project ) ha rilasciato il rapporto aggiornato sui “dieci principali rischi di sicurezza critici per le applicazioni Web” riferito all’anno 2017. Uno studio che evidenzia la popolarità degli attacchi “classici” ma anche la crescita di popolarità delle nuove minacce.

OWASP 2017

OWASP ha più volte pubblicato in passato la sua “Top 10” di attacchi contro le Web application, e la versione 2017 arriva a quattro anni di distanza dall’ultimo rapporto. Nella lista sono presenti tre nuove minacce , mentre due rischi precedentemente indicati in posizioni separate sono stati accorpati in uno solo.

Le prime tre posizioni della Top 10 di OWASP per il 2017 sono quindi occupate dai rischi di code injection (primo anche nel 2013), con l’invio di dati non autorizzati per mezzo di falle nei sistemi SQL, NoSQL e altri, quelli di broken authentication (secondo) con un’implementazione incorretta delle autenticazioni e della gestione delle sessioni, e quelli di esposizione di dati sensibili (sesto posto) dovuti ad API e applicazioni Web non adeguatamente sicure.

Il resto dei rischi OWASP includono poi la new entry delle entità XML esterne, controlli di accesso non funzionanti (in precedenza indicati come rischi separati), configurazioni di sicurezza errate, attacchi XSS, de-serializzazioni insicure, componenti con vulnerabilità note, sistemi di monitoraggio insufficienti.

Nata dal contributo di 40 diverse società di sicurezza e da un’indagine che ha coinvolto 500 protagonisti dell’industria, la ricerca di OWASP non rappresenta uno “standard” di per sé ma è stata in questi anni adottata come linea guida ufficiale da parte di cacciatori di bug, team di sicurezza enterprise e non solo.

Alfonso Maruccia

fonte immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Italo Bo scrive:
    firmware?
    Per Tp-Link l'aggiornamento firmware è come una mentina in un letamaio.Meglio direttamente girarci alla larga da quei prodotti scadenti e poco affidabili....
  • Sisko212 scrive:
    Cinesate...
    ... d'altronde quello sono
  • xte scrive:
    Ahem
    Se non si vuole incappare in sorprese sgradite, o per lo meno si vuole limitarle, è consigliabile evitare ogni vendor "domestico". L'IT non è per questi soggetti.
  • iDiota scrive:
    a gratis
    Liberthà!Honestà!https://www.dd-wrt.com/site/support/router-database
    • 2d397f65ac7 scrive:
      Re: a gratis
      - Scritto da: iDiota
      Liberthà!
      Honestà!
      https://www.dd-wrt.com/site/support/router-databasNon mi sembra necessario. Qui il problema è che i cinesi non vogliono spendere troppo per aggiornare le pagine in tutte le lingue, basta fare come dovrebbe fare qualunque sistemista decente, imparare l'inglese e non affidarsi alle pagine locali. E' più un problema per gli utenti meno esperti, ma dubito che loro andrebbero a cercarsi alternative tipo dd-wrt.
      • sysadmin scrive:
        Re: a gratis
        - Scritto da: 2d397f65ac7
        - Scritto da: iDiota

        Liberthà!

        Honestà!


        https://www.dd-wrt.com/site/support/router-databas

        Non mi sembra necessario. Qui il problema è che i
        cinesi non vogliono spendere troppo per
        aggiornare le pagine in tutte le lingue, basta
        fare come dovrebbe fare qualunque sistemista
        decente, imparare l'inglese e non affidarsi alle
        pagine locali. E' più un problema per gli utenti
        meno esperti, ma dubito che loro andrebbero a
        cercarsi alternative tipo
        dd-wrt.A me sembra che il problema sia su due tipi: da una parte firmware non aggiornabile anche dopo che vngono scovate nuove falle molto pericolose (la traduzione è l'ultimo dei problemi), dall'altra parte c'è una cosa che rimarrà irrisolta per decenni ancora, e cioè voler rendere semplici dispositivi complessi per darli alla "massa". Abbiamo router e frigoriferi con linux, televisioni con android, di tutto e di più e poi si spera che un normale utente faccia l'update dei firmware sempre che questi vengano rilasciati? dai, cerchiamo di essere seri...
        • 2d397f65ac7 scrive:
          Re: a gratis

          A me sembra che il problema sia su due tipi: da
          una parte firmware non aggiornabile anche dopo
          che vngono scovate nuove falle molto pericolose
          (la traduzione è l'ultimo dei problemi),Questo non è scritto nell'articolo, anzi è proprio l'opposto. Hai qualche link ne che parla?
        • sono la morte scrive:
          Re: a gratis
          - Scritto da: sysadmin
          - Scritto da: 2d397f65ac7

          - Scritto da: iDiota


          Liberthà!


          Honestà!





          https://www.dd-wrt.com/site/support/router-databas



          Non mi sembra necessario. Qui il problema è
          che
          i

          cinesi non vogliono spendere troppo per

          aggiornare le pagine in tutte le lingue,
          basta

          fare come dovrebbe fare qualunque sistemista

          decente, imparare l'inglese e non affidarsi
          alle

          pagine locali. E' più un problema per gli
          utenti

          meno esperti, ma dubito che loro andrebbero
          a

          cercarsi alternative tipo

          dd-wrt.


          A me sembra che il problema sia su due tipi: da
          una parte firmware non aggiornabile anche dopo
          che vngono scovate nuove falle molto pericolose
          (la traduzione è l'ultimo dei problemi),
          dall'altra parte c'è una cosa che rimarrà
          irrisolta per decenni ancora, e cioè voler
          rendere semplici dispositivi complessi per darli
          alla "massa". Abbiamo router e frigoriferi con
          linux, televisioni con android, di tutto e di più
          e poi si spera che un normale utente faccia
          l'update dei firmware sempre che questi vengano
          rilasciati? dai, cerchiamo di essere
          seri...Se le 'masse' vogliono essere alla moda con 'aggeggi modernisti' e giusto he ne paghino le conseguenze... gli e piaciuto il LUSH... e ora trabballassero. (rotfl)
Chiudi i commenti