OWASP Top 10: Le 10 Vulnerabilità più Critiche delle Applicazioni Web

L'OWASP (Open Web Application Security Project) è una community online no-profit che produce articoli, metodologie e strumenti nel campo della sicurezza delle applicazioni web. Il suo documento più famoso è l'OWASP Top 10, un report aggiornato periodicamente che elenca le 10 categorie di vulnerabilità più critiche e diffuse nelle applicazioni web.

Conoscere questa lista è un dovere per ogni sviluppatore e un ottimo punto di partenza per una strategia di sicurezza.

Una Panoramica della Lista (Esempi dall'ultima versione)

La lista cambia nel tempo, ma alcune categorie sono presenze costanti.

1. Broken Access Control (Controllo degli Accessi non Funzionante): La vulnerabilità più comune. Si verifica quando un utente riesce ad accedere a dati o funzionalità per cui non avrebbe i permessi. Esempio: un utente che modifica l'ID nell'URL (`/ordine?id=123` in `/ordine?id=124`) e riesce a vedere l'ordine di un'altra persona.
2. Cryptographic Failures (Errori Crittografici): Problemi legati all'uso scorretto della crittografia, come salvare le password in chiaro o usare algoritmi deboli. Ne abbiamo parlato nella guida su password_hash().
3. Injection (Iniezione): La categoria che include la famigerata SQL Injection, ma anche altri tipi di iniezione (NoSQL, OS Command, LDAP).
4. Insecure Design (Design Insicuro): Una categoria che evidenzia l'importanza di integrare la sicurezza fin dalla fase di progettazione, non come un rattoppo finale.
5. Security Misconfiguration (Configurazione di Sicurezza Errata): Errori di configurazione del server, permessi dei file troppo aperti, funzionalità di debug lasciate attive in produzione.
6. Vulnerable and Outdated Components (Componenti Vulnerabili e Obsoleti): L'uso di librerie, framework o CMS con vulnerabilità di sicurezza note. È il motivo per cui aggiornare WordPress e i suoi plugin è fondamentale.
7. Identification and Authentication Failures (Errori di Identificazione e Autenticazione): Vulnerabilità legate al processo di login, come la mancanza di protezione da brute-force o una gestione insicura delle sessioni.
8. Software and Data Integrity Failures (Errori di Integrità di Software e Dati): Problemi legati alla deserializzazione insicura o all'aggiornamento di software senza verificarne la firma digitale.
9. Security Logging and Monitoring Failures (Errori di Logging e Monitoraggio): La mancanza di log adeguati rende quasi impossibile rilevare un attacco in corso o investigare una violazione dopo che è avvenuta.
10. Server-Side Request Forgery (SSRF): Una vulnerabilità in cui un hacker può forzare il server a fare richieste di rete verso destinazioni arbitrarie, potendo così scansionare la rete interna o interagire con servizi cloud.