L’Open Web Application Security Project (OWASP) è una comunità globale senza scopo di lucro che si dedica al migliorare la sicurezza delle applicazioni web. Fondata nel 2001, l’OWASP è diventata un punto di riferimento per gli sviluppatori, i ricercatori, gli esperti di sicurezza e gli utenti finali interessati a migliorare la sicurezza delle applicazioni web.
Il principale obiettivo dell’OWASP è quello di fornire informazioni, strumenti e risorse per aiutare a proteggere le applicazioni web dai principali attacchi informatici. L’OWASP è responsabile della pubblicazione della cosiddetta “Top 10”, che elenca le principali vulnerabilità che gli sviluppatori di applicazioni web devono affrontare e mitigare.
L’OWASP è gestita da una comunità globale di volontari ed è finanziata attraverso donazioni, sponsorizzazioni e collaborazioni con aziende che condividono l’obiettivo di migliorare la sicurezza delle web applications.
Come viene utilizzata l’OWASP Top 10 e perché è importante?
Dal 2003, l’OWASP ha mantenuto la sua lista Top 10, aggiornandola ogni due o tre anni per tenere il passo con i progressi e i cambiamenti nel mercato Application Security.
L’integrazione della Top 10 nel ciclo di vita dello sviluppo software (SDLC) dimostra l’impegno di un’organizzazione verso le best practice del settore per uno sviluppo sicuro.
Il GDPR stesso, tra i vari adempimenti, richiede alle organizzazioni di rispettare il principio della “privacy by design” o della “protezione dei dati fin dalla progettazione”.
Per rilasciare alle aziende le qualificazioni per SaaS (Software as a Service) e CSP (Cloud Service Provider), necessarie per offrire servizi informatici alle pubbliche amministrazioni, anche l’AGID, ovvero l’Agenzia per l’Italia Digitale, richiede ai fornitori di eseguire i controlli OWASP sul codice.
Esistono molti software, commerciali e open source, che aiutano ad automatizzare le verifiche di sicurezza OWASP.
Le novità del 2021
L’edizione 2021 della Top 10 ha aggiunto tre nuove categorie, apportato quattro modifiche alla denominazione e all’ambito ed ha effettuato alcuni consolidamenti.
Come è composta la Top 10?
I 10 rischi di sicurezza OWASP identificati nell’aggiornamento del 2021 sono i seguenti:
Broken access control
Debolezza che consente ad un utente malintenzionato di accedere agli account degli utenti, sia come utente normale che come amministratore del sistema. Ad esempio, un’applicazione potrebbe permettere la modifica di una chiave primaria, se tale chiave viene modificata nel record di un altro utente, l’account di quest’ultimo potrebbe essere visualizzato o modificato.
Cryptographic Failures
Noto precedentemente come “Sensitive Data Exposure”, era più concentrato sul sintomo piuttosto che sulla causa. Oggi, invece, si pone maggiormente l’attenzione sui fallimenti nella cifratura e protezione dei dati, che possono causare l’esposizione, anche pubblica, di dati personali e privati. Ciò include la cifratura dei dati at rest (registrati su uno storage) e in transit (durante la trasmissione), l’autenticazione, l’autorizzazione e così via. In altre parole, questo rischio si concentra sulle cause principali che portano all’esposizione di dati sensibili, anziché sulla loro esposizione in sé, come accadeva in passato.
Injection
Accade quando dati non verificati vengono passati ad un interprete che non li gestisce correttamente, dando all’hacker la possibilità di accedere a informazioni riservate o di eseguire comandi pericolosi.
Insecure design
Questo tipo di vulnerabilità si verifica quando gli sviluppatori, i team di controllo qualità o di sicurezza non riescono ad anticipare e valutare le minacce durante la fase di progettazione del codice. Queste vulnerabilità sono anche una conseguenza della mancata aderenza alle best practice di sicurezza durante la progettazione di un’applicazione
Security Misconfiguration
Si tratta di punti deboli di progettazione, derivanti da errori o da carenze di configurazione.
Ad esempio, un account predefinito e la relativa password originale sono ancora abilitati, rendendo il sistema vulnerabile agli exploit.
Vulnerable and Outdated Components
Si riferisce ai componenti che presentano rischi per la sicurezza. I componenti con vulnerabilità note, come i CVE (Common Vulnerabilities and Exposures), devono essere identificati e corretti, mentre i componenti obsoleti o dannosi devono essere valutati per verificare il rischio che possono introdurre.
Identification and Authentication Failures
Precedentemente noto come Broken Authentication. L’identificazione e l’autenticazione non sono gestite correttamente e l’hacker può sottrarre password, chiavi, sessioni, cookie per impersonare altri utenti.
Software and Data Integrity Failures
Si concentra su aggiornamenti software, dati critici e pipeline di integrazione e distribuzione (CI/CD), eseguiti senza verificarne l’integrità. Inoltre, inclusa in questa voce, vi è la deserializzazione non sicura, che è un difetto che consente a un utente malintenzionato di eseguire codice in remoto nel sistema.
Ad esempio, un’applicazione deserializza oggetti ostili, forniti da un utente malintenzionato, esponendosi alla vulnerabilità.
Security Logging and Monitoring Failures
Il mancato monitoraggio e la mancata integrazione di processi di incident response può comportare la persistenza di hacker nei propri sistemi.
Server-Side Request Forgery
Un attacco SSRF si verifica quando un’applicazione Web acquisisce dati da fonti remote senza convalidare l’URL inserita dall’utente. Ciò consente a un attaccante di forzare un’applicazione ad inviare richieste opportunamente modificate a destinazioni ad hoc, anche se protette da ACL e firewall.
Un riferimento importante
OWASP rappresenta una risorsa fondamentale per la sicurezza applicativa, offrendo una vasta gamma di strumenti e informazioni utili per prevenire e mitigare gli attacchi informatici.
In aggiunta alla OWASP Web Top 10, è disponibile una classificazione simile, sebbene datata, riguardante le principali vulnerabilità del mondo mobile.
La OWASP mette a disposizione, sul proprio sito ufficiale, numerose applicazioni web e mobile vulnerabili “by-design”, al fine di fornire a studenti ed esperti del settore un’opportunità di esercitarsi in modo autonomo. Di seguito, una lista delle principali applicazioni e delle relative piattaforme per le quali sono state sviluppate.
- Juice Shop (Web)
- vAPI (Web – API)
- UnCrackable Mobile Apps (Android and iOS)
- MSTG Hacking Playground (Android and iOS)
La conoscenza delle vulnerabilità comuni e delle best practice di sicurezza offerte da OWASP non dovrebbe essere limitata alle sole figure professionali specializzate. Tutti coloro che utilizzano sistemi informatici e navigano in rete dovrebbero essere a conoscenza dei principi di sicurezza informatica e delle azioni da intraprendere per proteggere i propri dati e la propria privacy. Pertanto, l’accessibilità e la diffusione delle informazioni fornite da OWASP, rappresentano un passo fondamentale verso una cultura informatica più consapevole e sicura.
Autore: Marco Marra
