OWASP è l’ente mondiale che produce risorse, articoli e materiali per il miglioramento della sicurezza dei software web e quest’anno ha stilato una nuova Top 10 delle principali minacce alla sicurezza dei sistemi informatici.

Negli ultimi dieci anni i problemi di sicurezza si sono complicati ed è diventato sempre più difficile rendere le applicazioni sicure da parte delle organizzazioni. Così OWASP cerca di diffondere la consapevolezza delle minacce informatiche e favorirne una buona gestione.

Vediamo in breve quali sono le voci di questa classificazione:

  1. Injection – Meglio conosciuta come SQL Injection, si verifica quando un hacker riesce ad inviare una query arbitraria al database. Riguarda principalmente database di tipo DBMS utilizzati per memorizzare e gestire i dati di un’applicazione web. Se le query non sono oppurtunamente filtrate, l’hacker potrà ottenere e modificare le informazioni salvate o aggiungerne di nuove. Conseguenze: accesso a dati sensibili e password, pagine web dinamiche che genereranno codice malevolo per attaccare gli utenti, furto di carte di credito, accesso non autorizzato ad aree amministrative.
  2. Broken Authentication and Session Management – Viene a verificarsi quando non c’è una corretta gestione delle sessioni, come la la mancata protezione delle credenziali e dei token o cookie di sessione.
  3. Cross Site Scripting (XSS) – Se i dati in input non vengono controllati, il malintenzionato hacker potrà inviare script pericolosi al browser dell’utente. Così potrà rubare credenziali, dati sensibili e forzare il la vittima ad effettuare download di malware.
  4. Insecure Direct Object Reference – Uno sviluppatore può utilizzare riferimenti diretti a file, directory, record di database ed altre risorse. Se non ci sono controlli sui riferimenti, un hacker potrebbe manipolare o accedere senza controllo alle risorse dell’applicazione web.
  5. Security Misconfiguration – Questa vulnerabilità riguarda il lato server ed i sofwtware installati su di esso. Ogni applicazione dovrà essere sempre aggiornata e configurata nel modo corretto.
  6. Sensitive date exposure – Chi progetta un’applicazione web deve evitare la mancata protezione sui dati sensibili degli utenti, come codici di carte di credito.
  7. Missing Function Level Access Control – Quando utilizziamo l’account di un sito a cui siamo registrati, abbiamo la possibilità di utilizzare determinate funzionalità. È molto importante che vengano effettuati controlli sui permessi di utilizzo di ogni singola funzione implementata nell’applicazione web. Questo per fare si che un utente possa accedere solo alle funzionalità per cui è autorizzato.
  8. Cross Site Request Forgery – È un’attacco che forza un utente ad eseguire operazioni indesiderate su un sito web sul quale è loggato, a sua insaputa. Per fare questo, l’aggressore sfrutta l’ingegneria sociale, come e-mail o chat.
  9. Using Components with Known Vulnerabilities – Una scelta di pericolosità ovvia. Usare componenti con delle vulnerabilità è molto pericoloso, perché potrebbero essere sfruttate per manomettere il sistema.
  10. Unvalidated Redirects and Forwards – Avviene quando l’applicazione permette di redirigere il browser dell’utente verso altri siti web. Se questa pratica non è controllata un malintenzionato potrebbe indirizzare l’utente verso pagine con malware o ideate per campagne di phishing, anche con grafica molto simile all’applicazione o al sito originale.

OWASP ha certamente aiutato a creare informazione tra sviluppatori, professionisti dell’IT, utenti e dirigenti con la Top 10 delle minacce ai sistemi informatici web.

Oggi, per verificare se il vostro portale, area riservata, sito web o applicazione sono affetti da queste problematiche potete affidarvi a professionisti ad un costo contenuto. EasyAudit è la scelta migliore per aiutare le aziende nella protezione delle reti aziendali e applicazioni web. Il tutto certificato con il bollino EasyAudit Checked, una garanzia per i vostri clienti!

Related posts