Leggerai questo articolo in: 2 minuti

Dopo la breve introduzione sulla sicurezza delle applicazioni web dello scorso articolo. Oggi voglio introdurti il progetto OWASP Top 10 il quale ha come obiettivo quello di sensibilizzare gli sviluppatori web circa alcune problematiche di sicurezza che molte volte vengono completamente ignorate o poco considerate.

Il progetto OWASP Top 10 è una classifica di vulnerabiltà alle quali le applicazioni web sono maggiormente soggette e viene aggiornata circa ogni tre anni (vista la più o meno stabilità in classifica delle varie vulnerabilità). Ovviamente il panorama delle minacce per le applicazioni Web è in costante cambiamento. I fattori principali di evoluzione sono i progressi fatti dagli attaccanti, il rilascio di nuove tecnologie e l’uso di sistemi sempre più complessi e capacità di calcolo sempre maggiori dei nostri pc.

Quale è il mio rischio?

Aspetto fondamentale è focalizzarsi e avere ben chiaro il concetto di rischio associato ad una vulnerabilità. Per ognuno di questi rischi il progetto OWASP Top 10, fornisce preziose informazioni generali circa la probabilità e l’impatto tecnico utilizzando questo schema di rating:

Sicurezza web OWASP Top 10 - Le dieci  vulnerabilità più diffuse alle quali prestare attenzione

Ovviamente, ognuno di noi conosce le peculiarità del proprio ambiente, del proprio business e del proprio progetto. Per ciascuna applicazione considerata può non esistere una minaccia che può consentire un attacco significativo oppure l’impatto può non essere rilevante. Dato questo per scontato, capisci che tutto andrà rapportato alla situazione (il contesto) in cui ci si ritrova. Nello scorso articolo avevo esordito dicendoti “La sicurezza assoluta non esiste”.

A questo punto ti dovrebbe essere chiaro il concetto di rapportare la sicurezza ad una certa soglia di rischio. Per farti un esempio, ovviamente un sito di una banca avrà bisogno di un livello di sicurezza maggiore rispetto ad un sito di un fruttivendolo.

Quale sono in particolare questi rischi?

I nomi dei rischi elencati nel progetto OWASP Top 10 derivano dal tipo di attacco, dal tipo di vulnerabilità o dal tipo di impatto che essi causano (o potrebbero causare) sulle nostre applicazioni web nel dettaglio:

A1 – Injection.
A2 – Cross Site Scripting (XSS).
A3 – Broken Authentication and Session Management.
A4 – Insecure Direct Object Reference.
A5 – Cross Site Request Forgery (CSRF).
A6 – Security Misconfiguration.
A7 – Insecure cryptography Storage.
A8 – Failure to Restrict Url Access.
A9 – Insufficient Transport Layer Protection.
A10 – Unvalidated Redirects and Forewards.

Dal successivo articolo partirò ad analizzare nello specifico queste vulnerabilità, mostrandoti per ognuna di esse il vettore di attacco, le caratteristiche principali, uno scenario di attacco ed eventuali contromisure specifiche.

Il mio obiettivo (o meglio quello che mi piacerebbe) è quello di mostrarti (naturalmente in un ambiente di test) in una situazione reale in cui sono presenti alcune vulnerabilità come queste possono venire sfruttate in cascata da un potenziale malintenzionato.

Come sempre se ti è piaciuto questo articolo, hai qualche dubbio, richiesta o curiosità non esitare a lasciarmi un commento.
Nella speranza di riaverti presto qui ti auguro una splendida giornata!

Non dimenticare di condividere l’articolo su Facebook, Twitter, Google+.

[adsense]