Cosa è OWASP Top 10 ?

Cosa è OWASP Top 10? La sicurezza informatica oggi è un argomento caldissimo.

L’informatizzazione di ogni attività ha aumentato l’esposizione ad attacchi informatici. Di recente la guerra in Ucraina e le tensioni fra Europa, Nato e Russia hanno decisamente inciso sul rischio sicurezza informatica.

Oggi un “hacker” può tentare di entrare in reti aziendali, sistemi informativi, banche dati e rubare informazioni sensibili. Spesso questi attacchi bloccano i server e/o l’accesso ai sistemi chiedendo del denaro come riscatto.

Ovviamente se parliamo di banche, istituti governativi, enti pubblici e grandi aziende gli l’impatti che possono avere questi attacchi sono gravissimi.

Danni economici, disagi per la popolazione che ad esempio non può utilizzare sistemi informatici pubblici. Spesso la parte lesa è costretta a pagare il riscatto. Anche in Italia non sono nuovi questi episodi di attacchi informatici.

Per proteggersi da tali rischi, entrano in gioco una serie di procedure e metodologie in grado di prevenire virus malevoli o gli hackeraggi su vasta scala.

OWASP Top 10 nello specifico è una organizzazione internazionale no-profit che si occupa di sicurezza delle applicazioni web. La sua attività consiste nel produrre e diffondere materiale teorico ed operativo utile ad aziende e professionisti del settore IT. Tra questo materiale il documento più importante è proprio la OWASP Top 10.

OWASP Top 10 è la linea guida per gli sviluppatori con le indicazioni delle 10 principali vulnerabilità più pericolose al mondo. OWASP Top 10 indica inoltre come difendersi da tali pericoli.

Il progetto open-source OWASP Top 10 presenta la seguente lista dei maggiori rischi per una applicazione web (lista 2017):

  1. Injection
  2. Broken Authentication
  3. Sensitive data exposure
  4. XML External Entities (XXE)
  5. Broken Access control
  6. Security misconfigurations
  7. Cross Site Scripting (XSS)
  8. Insecure Deserialization
  9. Using Components with known vulnerabilities
  10. Insufficient logging and monitoring

Diciamo che, nell’era in cui viviamo oggi, qualunque sviluppatore dovrebbe conoscere perlomeno i principi di OWASP. Specialmente se parliamo di applicativi utilizzati in ambito enterprise (es. nel settore bancario, industriale o pubblico) implementare questi principi dovrebbe essere obbligatorio.

Periodicamente OWASP aggiorna la lista dei rischi. L’ultimo aggiornamento riguarda il 2021 con di seguito il nuovo elenco:

  1. Broken Access Control
  2. Cryptographic Failures
  3. Injection
  4. Insecure Design
  5. Security Misconfiguration
  6. Vulnerabile and Outdated Components
  7. Identification and Authentication Failures
  8. Software and Data Integrity Failures
  9. Security Logging and Monitoring Failures
  10. Server-Side Request Forgery (SSRF)


Diremo che ogni azienda poi valuterà caso per caso quale sia il rischio maggiore per sè. Tuttavia OWASP Top 10 non si compone in una semplice lista di vulnerabilità. Si compone come una sorta di manuale che descrive per ogni rischio il comportamento da attuare per difendersi.

Ogni rischio ha una scheda descrittiva che contiene una overview, una descrizione e una metodologia di prevenzione accompagnata da esempi specifici di attacchi. Infine OWASP Top 10 contiene un elenco CWE annessi al rischio (list of Mapped CWEs). Per CWE si intende “Common Weakness Enumeration” (debolezze comuni).

Cosa è OWASP Top 10 ? Rimane una lista tecnica di minacce che però invita tutto il management aziendale ad affrontale la prevenzione degli attacchi come logica strategica di lavoro. L’invito di OWASP Top 10 è di attuare i suoi principi come una mentalità orientata ad anticipare i pericoli e che deve coinvolgere a 360° i processi aziendali.

La raccolta delle sorgenti delle minacce è di tipo ibrido. Due rischi provengono dal sondaggio che viene proposto nella pagina ufficiale OWASP. Gli altri 8 provengono da dei dati reali provenienti dalle organizzazioni che si sono occupate della raccolta dei risultati . Per ogni nuova edizione OWASP Top 10 (che tuttavia non hanno una frequenza precisa) viene aggiornata la lista delle vulnerabilità.

Infine ricordiamo che i principi OWASP hanno anche delle applicazioni nella IoT e nel mobile (Android/iOS). In questo caso vengono spiegate come gestire le vulnerabilità per i sistemi di Internet of Thinghs e per le applicazioni Android ed iOS.

(fonte)

Innovaformazione, scuola informatica specialistica promuove la cultura informatica nelle aziende.

Nell’ambito sviluppo web in sicurezza trovate il Corso OWASP Sicurezza Web App .

Per altri articoli sul mondo dello sviluppo web e software trovate la sezione dedicata del blog QUI.

Vuoi essere ricontattato? Lasciaci il tuo numero telefonico e la tua email, ti richiameremo nelle 24h:

    Ti potrebbe interessare

    Articoli correlati