OWASP Top 10 Web Application Security Risks è un documento redatto da esperti di sicurezza informatica che elenca i 10 problemi più critici per la sicurezza delle applicazioni web.

Il progetto è nato per sensibilizzare IT Manager, CISO e Information Security Manager ed è diventato lo standard de facto di sicurezza delle applicazioni web.

A quattro anni dalla pubblicazione della lista OWASP Top 10 2017, il trend delle vulnerabilità sembra rimanere costante anche nel 2021.

OWASP Top Ten 2021: eccone alcune

Nonostante siano vulnerabilità ben note al settore della sicurezza informatica, le vulnerabilità più sfruttate si riconfermano le seguenti:

• Errori di configurazione della sicurezza del server (server security misconfiguration)
• Cross-site scripting (XSS)
• Broken access control (ad esempio, enumerazione di username/e-mail)
• Esposizione di dati sensibili (causa di data breach)
• Sistemi di autenticazione deboli (broken authentication)

È interessante notare come nessuna delle precedenti sia una 0-day vulnerability: si tratta infatti di problemi noti da anni nel settore della cybersecurity e dunque nessuna sorpresa nella OWASP Top Ten.

Quali sono gli asset più colpiti?

Non tutte le vulnerabilità colpiscono allo stesso modo le diverse tipologie di risorse informatiche. Ad esempio:

• le risorse web e le API sono più colpite dalle tecniche di stored XSS (o cross-site scripting persistente), per cui lo script malevolo viene salvato sul server vulnerabile e riproposto ad ogni visitatore;
• i dispositivi connessi sono vulnerabili a causa dell’utilizzo di componenti obsoleti per i quali non vengono più rilasciate patch di sicurezza (eventualità particolarmente critica nel caso di dispositivi healthcare conosciuti come IoMT o Internet of Medical Devices)
• gli applicativi mobile subiscono attacchi di reverse engineering (a causa della mancanza di una adeguata protezione del codice oggetto dalla decompilazione).

Per questo motivo è importante creare un piano di vulnerability management dalle prime fasi del ciclo di vita dello sviluppo software (il cosiddetto SDLC, “Software Development Lifecycle”).

Particolarmente utile è avvalersi di tecniche di Secure SDLC.

Vulnerability management: che cos’è?

Per valutare il rischio di esposizione ad attacchi informatici è frequente eseguire test del tipo Vulnerability Assessment.

Un vulnerability assessment, spesso abbreviato come VA, rappresenta uno dei pezzi alla base di un piano di sicurezza di un OSWAP Vulnerability Management.

Per i propri clienti, BIT4LAW suggerisce di eseguire un Vulnerability Assessment almeno una volta l’anno (dipende dalla criticità del settore) e comunque:

• ogni volta che viene messo in produzione un nuovo sistema
• ogni volta che interviene un significativo aggiornamento dei propri sistemi

Questa tipologia di controlli, che può eventualmente essere seguito da un più approfondito Penetration Test, è inoltre fondamentale per le aziende che intendono conseguire una certificazione ISO 27001.