Che cos'è l'OWASP?

L' OWASP (Open Worldwide Application Security Project) è una fondazione no profit che si impegna a migliorare la sicurezza dei software, Inizialmente noto come Open Web Application Security Project, l'OWASP è stato fondato nel 2001 con la missione di "creare una community aperta a livello globale per migliorare la sicurezza dei software tramite l'istruzione, gli strumenti appropriati e la collaborazione". Dal 2024, la fondazione OWASP opera in più 250 sedi in tutto il mondo, tra cui Africa, Asia, Caraibi, America centrale, Europa, Nord America, Oceania e Sud America. 

L'OWASP coordina una serie di progetti software open source guidati dalla community e di conferenze educative e formative leader del settore. I progetti, gli strumenti, i documenti, i forum e le sedi dell'organizzazione sono gratuiti e accessibili a chiunque sia interessato a migliorare la sicurezza delle applicazioni.

L'elenco OWASP Top 10 contiene i rischi per la sicurezza più critici per le applicazioni web, come stabilito da un ampio consenso di esperti di sicurezza in tutto il mondo. L'elenco OWASP Top 10 funge da guida per aziende, team DevOps, autorità di regolamentazione e altre parti interessate incaricate di garantire la sicurezza delle applicazioni web e di cambiare la cultura dello sviluppo software per creare codice più sicuro.

L'elenco OWASP con le 10 principali minacce alla sicurezza si basa sull'esperienza e sulle competenze di una comunità aperta di collaboratori e sul consenso degli esperti di sicurezza a livello mondiale. I rischi sono classificati in base a diversi fattori, tra cui la frequenza con cui si verifica ogni vulnerabilità della sicurezza e la gravità e l'entità del suo potenziale impatto.

Scaricate il white paper sull'elenco OWASP Top 10 di Akamai.

1. A01:2021 - Violazione del controllo degli accessi: consente ai criminali di ottenere l'accesso agli account degli utenti e agire come utenti o amministratori. Inoltre, può consentire agli utenti regolari di disporre di funzioni privilegiate indesiderate.
2. A02:2021 - Errori crittografici: si verificano quando vengono violati dati importanti o sensibili durante le relative operazioni di archiviazione o trasmissione.
3. A03:2021 - Attacchi Code injection: come gli attacchi SQL injection, si verificano quando un criminale invia dati non validi o codice dannoso a un'applicazione web per forzarla ad effettuare operazioni non previste.
4. A04:2021 - Difetti di progettazione non sicura: si verificano quando un'applicazione viene sviluppata tramite processi non sicuri, come un'app con processi di autenticazione inadeguati o un sito web non progettato per prevenire i bot.
5. A05:2021 - Errata configurazione della sicurezza: include una configurazione errata delle autorizzazioni dei servizi cloud, l'utilizzo di password amministratore predefinite o l'installazione di funzioni non richieste.
6. A06:2021 - Componenti vulnerabili e obsoleti: è una vulnerabilità causata da software o componenti interni non supportati oppure obsoleti.
7. A07:2021 - Errori di identificazione e autenticazione: si verificano quando le app non possono confermare e verificare correttamente le identità degli utenti o stabilire una gestione sicura delle sessioni.
8. A08:2021 - Errori di integrità del software e dei dati: si verificano quando il codice e l'infrastruttura di un'applicazione non sono in grado di proteggere completamente l'integrità di software o dati.
9. A09:2021 - Errori di registrazione e monitoraggio della sicurezza: si tratta di vulnerabilità nella capacità di un'applicazione di rilevare e rispondere ai rischi per la sicurezza.
10. A10:2021 - SSRF (Server-Side Request Forgery): si verifica quando un'applicazione web estrae i dati da una risorsa remota in base a un URL specificato dall'utente, senza verificare l'URL.

Oltre ad elencare i 10 principali rischi per la sicurezza delle applicazioni web, l'OWASP crea un elenco contenente i 10 più pericolosi problemi e vulnerabilità per la sicurezza delle API (Application Programming Interface). L'elenco è stato originariamente prodotto nel 2019 e aggiornato nel 2023.

Per ulteriori informazioni Leggete i blog di Akamai su questo argomento:

• Cosa implicano per la vostra azienda le nuove modifiche proposte nell'elenco OWASP con le 10 principali vulnerabilità per la sicurezza delle API

• Elenco OWASP con le 10 principali vulnerabilità per la sicurezza delle API: è finalmente arrivata l'edizione 2023

• Akamai difende dai 10 principali rischi per la sicurezza delle API identificati dall'OWASP

1. API1:2023 Violazione dell'autorizzazione a livello di oggetto: si verifica quando mancano controlli di accesso adeguati sugli endpoint delle API, che determinano l'esposizione dei dati sensibili e consentono agli utenti non autorizzati di accedere e modificare i dati sensibili.
2. API2:2023 - Violazione dell'autenticazione (BA): si verifica quando i meccanismi di autenticazione vengono implementati in modo errato, consentendo ai criminali di violare i token di autenticazione o sfruttare i difetti di implementazione per assumere le identità di altri utenti.
3. API3:2023 - Violazione dell'autorizzazione a livello della proprietà dell'oggetto (BOPLA): si verifica quando le API non convalidano correttamente l'autorizzazione a livello della proprietà dell'oggetto.
4. API4:2023 - Utilizzo delle risorse illimitato: implica richieste che utilizzano grandi quantità di larghezza della banda di rete, CPU, memoria e storage, portando potenzialmente a un attacco DoS (Denial-of-Service) o a un aumento dei costi.
5. API5:2023 - Violazione dell'autorizzazione a livello di funzione: è causata da difetti di autorizzazione derivanti da policy di controllo degli accessi eccessivamente complesse con diverse gerarchie, gruppi e ruoli, nonché da una separazione non chiara tra funzioni amministrative e regolari.
6. API6:2023 - Accesso illimitato a flussi aziendali sensibili: si verifica quando le API espongono un flusso aziendale senza limitarlo o compensare il potenziale rischio di poter utilizzare la funzione in modo eccessivamente automatizzato.
7. API7:2023 - SSRF (Server-Side Request Forgery): si verifica quando un'API recupera una risorsa remota senza convalidare l'URI fornito dall'utente, consentendo ai criminali di forzare l'applicazione a inviare una richiesta manipolata ad una destinazione inattesa.
8. API8:2023 - Errata configurazione della sicurezza: si verifica quando i tecnici addetti alla progettazione di software e DevOps non riescono a configurare correttamente le API e i sistemi che le supportano.
9. API9:2023 - Gestione dell'inventario inadeguata: si verifica quando gli amministratori IT non riescono a documentare e aggiornare correttamente un inventario degli host e delle versioni API distribuite.
10. API10:2023 - Utilizzo delle API non sicuro: si verifica quando gli sviluppatori estendono la fiducia alle API di terze parti senza sottoporle a controlli, il che porta a una strategia di sicurezza più debole.

L'OWASP coordina e supervisiona una serie di progetti di alto profilo.

• Dependency-Track: è una piattaforma di analisi dei componenti intelligente che aiuta le organizzazioni a identificare e ridurre i rischi presenti nella supply chain del software. Dependency-Track monitora l'utilizzo dei componenti in ogni versione di un'applicazione per identificare in modo proattivo i rischi presenti all'interno di un'organizzazione.
• Juice Shop: è un'applicazione web non sicura progettata per l'uso in corsi di formazione sulla sicurezza, dimostrazioni divulgative, gare CTF (Capture the Flag) e test sugli strumenti di sicurezza. L'applicazione Juice Shop è scritta con tutte le vulnerabilità presenti nell'elenco OWASP Top 10 e con molti altri difetti di sicurezza frequentemente riscontrati nelle applicazioni reali.
• OWASP Mobile Application Security Project: è uno standard di sicurezza per le app mobili e una guida completa sui test. Descrive i processi, le tecniche e gli strumenti utilizzati nei test di sicurezza delle app mobili e fornisce una serie completa di test case che aiutano i tester a produrre risultati coerenti e completi.
• OWASP ModSecurity Core Rule Set: è un insieme di regole generiche di rilevamento degli attacchi da utilizzare con ModSecurity o con soluzioni WAF (Web Application Firewall) compatibili.
• Software Assurance Maturity Model: offre un modo efficace e misurabile per analizzare e migliorare i cicli di sviluppo sicuri.
• Web Security Testing Guide Project: è la principale risorsa di test sulla cybersecurity, concepita per sviluppatori di applicazioni web e addetti alla sicurezza.

Le organizzazioni e i loro team addetti alla sicurezza possono ottenere informazioni utili dagli elenchi OWASP Top 10 che fungono da checklist importante per i team addetti alla sicurezza e da standard di sicurezza per i team DevOps. I revisori utilizzano gli elenchi per valutare se le organizzazioni aderiscono alle best practice e agli standard di sviluppo per la sicurezza delle applicazioni web e delle API.