OWASP distingue essenzialmente per l’Open Web Application Security Project, è un non-profit della comunità globale online composto da decine di migliaia di iscritti e centinaia di capitoli che produce articoli, documentazione, strumenti e tecnologie nel campo della sicurezza delle applicazioni web.

Ogni tre o quattro anni, OWASP rivede e pubblica la sua lista delle prime 10 vulnerabilità delle applicazioni web., Questo elenco non solo contiene le più comuni vulnerabilità top 10, ma contiene anche il potenziale impatto di ciascuna vulnerabilità e come evitarle. Il OWASP Top 10 Rischi per la sicurezza delle applicazioni Web è stato aggiornato più di recente nel 2017 e fondamentalmente fornisce una guida agli sviluppatori e ai professionisti della sicurezza sulle vulnerabilità più critiche che si trovano più comunemente nelle applicazioni Web e sono anche facili da sfruttare. La top 10 di OWASP è considerata una guida essenziale alle best practice di sicurezza delle applicazioni web.,

La top 10 OWASP vulnerabilità nel 2020 sono:

  1. Iniezione
  2. Rotto di Autenticazione
  3. Dati Sensibili Esposizione
  4. XML Enti Esterni (XX)
  5. Rotto di controllo di Accesso
  6. Protezione errata
  7. Cross-Site Scripting (XSS)
  8. Insicuro Deserializzazione
  9. Utilizzo di Componenti con vulnerabilità note
  10. Insufficiente il monitoraggio e la registrazione.,

Injection

Le vulnerabilità Injection si verificano quando un utente malintenzionato utilizza una query o un comando per inserire dati non attendibili nell’interprete tramite SQL, OS, NoSQL o LDAP injection. I dati che vengono iniettati attraverso questo vettore di attacco fanno sì che l’applicazione faccia qualcosa per cui non è progettata. Non tutte le applicazioni sono vulnerabili a questo attacco, solo le applicazioni che accettano i parametri come input sono vulnerabili agli attacchi di iniezione.,

gli attacchi di Iniezione può essere impedito da

  • Uso più sicuro di API che evita l’utilizzo di interprete
  • Utilizzo di query con parametri quando si codifica
  • Segreganti comandi dati al fine di evitare l’esposizione agli attacchi

Rotto di Autenticazione

Rotto l’Autenticazione è una vulnerabilità che consente a un utente malintenzionato di utilizzare automatica o manuale metodi per tentare di ottenere il controllo su qualsiasi account che si desidera in un sistema. In condizioni peggiori, potrebbero anche ottenere il controllo completo sul sistema., Questa vulnerabilità è anche più pericoloso perché i siti web con vulnerabilità di autenticazione rotti sono molto comuni sul web. L’autenticazione interrotta si verifica normalmente quando le applicazioni eseguono in modo errato le funzioni relative alla gestione delle sessioni, consentendo agli intrusi di compromettere password, chiavi di sicurezza o token di sessione.,Rotto l’autenticazione di attacchi può essere impedito da

  • Implementare il multi-factor authentication
  • Proteggere le credenziali dell’utente
  • Invio di password e connessioni crittografate

Dati Sensibili Esposizione

Questa vulnerabilità è una delle più diffuse vulnerabilità sul OWASP elenco e si verifica quando le applicazioni e le Api non proteggere adeguatamente i dati sensibili come i dati finanziari, numeri di sicurezza sociale, i nomi utente e le password o informazioni di salute, e questo permette agli hacker di ottenere l’accesso a tali informazioni e commettere frodi o rubare le identità.,

Gli attacchi di esposizione ai dati sensibili possono essere prevenuti

  • Utilizzando l’URL protetto
  • Utilizzando password forti e univoche
  • Crittografando tutte le informazioni sensibili che devono essere archiviate

XML External Entities (XXE)

Questa vulnerabilità si verifica per le applicazioni web che analizzano l’input XML. Succede quando i processori XML mal configurati valutano i riferimenti di entità esterne all’interno dei documenti XML e inviano dati sensibili a un’entità esterna non autorizzata, ad esempio un’unità di archiviazione come un disco rigido., Per impostazione predefinita, la maggior parte dei parser XML sono vulnerabili agli attacchi XXE.

XXE attacchi possono essere prevenute

  • Utilizza meno complessi, formati di dati, quali JSON
  • talmente semplice Mantenere aggiornati i processori XML e librerie aggiornati
  • Uso del SAST strumenti

Rotto i Controlli di Accesso

Questo problema si verifica quando vi si è rotto l’accesso alle risorse, significa che ci sono alcuni configurato in modo non corretto mancanti restrizioni agli utenti autenticati che consente loro l’accesso non autorizzato di dati o funzionalità come l’accesso ad altri account, documenti riservati, etc., Per questo attacco, gli aggressori prendono l’aiuto della gestione delle sessioni e cercano di accedere ai dati dai token di sessione non scaduti, che dà loro accesso a molti ID e password validi.,

Rotto di controllo di accesso attacchi possono essere prevenute

  • Eliminazione di account che non sono più necessari o non sono attivi
  • arrestare i servizi non necessari, per ridurre il carico sul server
  • Utilizzo di test di penetrazione

la Sicurezza di Configurazione

Si stima che fino al 95% di cloud violazioni sono il risultato di errori umani e di questo fatto ci porta al prossimo vulnerabilità chiamato security errore di configurazione. Questa vulnerabilità si riferisce all’implementazione impropria della sicurezza intesa a mantenere al sicuro i dati delle applicazioni., Come sappiamo che il lavoro dello sviluppatore è fondamentalmente quello di lavorare sulla funzionalità dei siti Web e non sulla sicurezza e questa falla consente agli hacker di tenere traccia della configurazione della sicurezza e trovare nuovi modi possibili per accedere ai siti web. Il motivo più comune di questa vulnerabilità non è l’applicazione di patch o l’aggiornamento di sistemi, framework e componenti.,

Protezione errata attacchi possono essere prevenute

  • Utilizzo di Dynamic application security testing (DAST)
  • Disabilitare l’uso di password di default
  • Tenere un occhio su di risorse cloud, applicazioni e server

Cross-Site Scripting (XSS)

anche Questa è una vulnerabilità diffusa, che colpisce quasi il 53% di tutte le applicazioni web. La vulnerabilità XSS consente a un hacker di iniettare script dannosi lato client in un sito Web e quindi utilizzare l’applicazione Web come vettore di attacco per dirottare le sessioni utente o reindirizzare la vittima a siti Web dannosi.,

attacchi Cross-site scripting può essere impedito da

  • Uso appropriato delle intestazioni di risposta
  • Filtro in ingresso e la codifica di output
  • utilizzare il contenuto politica di sicurezza
  • Applicazione di una tolleranza zero: approccio all’input dell’utente

Insicuro Deserializzazione

Insicuro Deserializzazione vulnerabilità consente a un utente malintenzionato di eseguire codice da remoto dell’applicazione, manomettere o eliminare serializzato (scritto per il disco) di oggetti, di condurre attacchi, gli attacchi di tipo replay, e di elevare i privilegi. Questo attacco è anche noto come deserializzazione non attendibile., Si tratta di un grave problema di sicurezza delle applicazioni che colpisce la maggior parte dei sistemi moderni.,alization attacchi possono essere prevenute

  • l’Implementazione di firme digitali
  • Utilizzo di test di penetrazione
  • Isolare il codice che deserializza e in esecuzione in basso privilegio ambienti per prevenire azioni non autorizzate

l’Utilizzo di Componenti con vulnerabilità note

al giorno d’Oggi ci sono molti open-source e liberamente disponibili componenti software (librerie, framework) che sono disponibili per gli sviluppatori e se si verifica un qualsiasi componente che ha ottenuto una vulnerabilità nota in esso, allora diventa un punto debole che può avere un impatto sulla sicurezza dell’intera applicazione., Si verifica anche perché gli sviluppatori spesso non sanno quali componenti open source e di terze parti sono presenti nelle loro applicazioni e questo rende difficile per gli sviluppatori di aggiornare i componenti quando vengono scoperte nuove vulnerabilità nelle loro versioni attuali.,

Questo attacco può essere prevenuto

  • Rimuovendo tutte le dipendenze non necessarie
  • Utilizzando patch virtuali
  • Utilizzando componenti solo da fonti ufficiali e verificate

Registrazione e monitoraggio insufficienti

Si stima che il tempo dall’attacco al rilevamento possa richiedere fino a 200 giorni, e spesso più a lungo. Nel frattempo, gli aggressori possono manomettere i server, database corrotti e rubare informazioni riservate. La registrazione insufficiente e l’integrazione inefficace dei sistemi di sicurezza consentono agli aggressori di ruotare su altri sistemi e mantenere le minacce persistenti.,

Gli attacchi di registrazione e monitoraggio insufficienti possono essere prevenuti implementando il software di registrazione e controllo

  • Creando un sistema di monitoraggio efficace
  • Pensando come un utente malintenzionato e usando un approccio pen testing
  • Tag articolo: