OWASP Top 10 – Versione 2021

Nel 2017 veniva pubblicata The OWASP Top 10: 2017. Oggi, la OWASP Foundation rilascia la prima bozza del progetto OWASP Top 10: 2021 in occasione del 24° anniversario dell’azienda.

Complessivamente la nuova lista delle vulnerabilità più pericolose per applicazioni web-based ha dato il benvenuto a tre nuove categorie di vulnerabilità e consolidato la presenza delle restanti sette (già tutte presenti nell’elenco del 2017).

Che cosa è cambiato negli ambienti web-based a distanza di 4 anni e in che modo questa nuova Top 10 influirà sul tutto il settore delle Web Application?
Scopriamolo insieme in questo articolo dedicato.

1. Introduzione

2. Chi è OWASP

3. OWASP Top 10 2017

4. Top 10 OWASP 2021

5. OWASP Top 10 2021 – in italiano

6. Riflessioni sulle nuove vulnerabilità

7. Riflessioni sulle vulnerabilità già esistenti

8. Come viene utilizzata la Top 10 OWASP da Onorato Informatica

9. Difendersi dalle nuove Top 10 OWASP

10. Web Vulnerability Assessment per la sicurezza dei software web-based

Il termine OWASP deriva dal Open Web Application Security Project, un’associazione americana e una community aperta che si occupa di stabilire gli standard di sicurezza per consentire alle organizzazioni di tutto il mondo di sviluppare, acquistare, utilizzare e effettuare manutenzione sulle applicazioni web-based e API.

L’organizzazione mette a disposizione tutto il materiale tra cui documenti, report, video, presentazioni e ricerche sul tema della application security (ovvero sulla sicurezza delle applicazioni web-based) poiché considerano il fenomeno come un problema che riguarda non solo le tecnologie ma anche persone e processi.

Uno dei lavori di maggior spessore dell’associazione è proprio la delibera circa lo standard Top ten OWASP. Da qualche giorno OWASP ha fatto sapere a tutta la community di aver rilasciato la prima bozza di OWASP Top 10 web application security risks dopo l’ultima versione del 2017.
Non dimentichiamoci che è proprio grazie ad organizzazioni come queste che è possibile diffondere gran parte della cultura cybersecurity di spessore (a costo zero).

OWASP si occupa contemporaneamente di più progetti legati alla sicurezza dei dispositivi e a tal proposito, qualche anno fa è nato il progetto Top 10 OWASP per dispositivi IoT. Anche in questo caso si tratta della lista delle 10 vulnerabilità più pericolose per il mondo dell’Internet of the Things, di cui l’ultima versione risale al 2018:

che sia in arrivo una nuova lista anche per gli oggetti connessi a Internet?

Procediamo per step.

1. A1:2017-Injection

2. A2:2017-Broken Authentication

3. A3:2017-Sensitive Data Exposure

4. A4:2017-XML External Entities (XXE)

5. A5:2017-Broken Access Control

6. A6:2017-Security Misconfiguration

7. A7:2017-Cross-Site Scripting (XSS)

8. A8:2017-Insecure Deserialization

9. A9:2017-Using Components with Known Vulnerabilities

10. A10:2017-Insufficient Logging&Monitoring

1. A01:2021-Broken Access Control

2. A02:2021-Cryptographic Failures

3. A03:2021-Injection

4. A04:2021-Insecure Design

5. A05:2021-Security Misconfiguration

6. A06:2021-Vulnerable and Outdated Components

7. A07:2021-Identification and Authentication Failures

8. A08:2021-Software and Data Integrity Failures

9. A09:2021-Security Logging and Monitoring Failures

10. A10:2021-Server-Side Request Forgery

1. A01:2021-Controllo di accesso interrotto

2. A02:2021-Errori crittografici

3. A03:2021-Iniezione

4. A04:2021-Design Insicuro

5. A05:2021-Errore configurazione di sicurezza

6. A06:2021-Componenti vulnerabili e obsoleti

7. A07:2021-Errori di identificazione e autenticazione

8. A08:2021-Errori di integrità dei dati e del software

9. A09:2021-Errori di registrazione e monitoraggio della sicurezza

10. A10:2021-La falsificazione della richiesta lato server

Le nuove categorie di vulnerabilità che sono entrate in gioco sono: Insecure Design, Software e Data Integrity Failures e Server-Side Request Forgery (SSRF).

Insecure Design

Certamente fa riferimento ai macro problemi legati ai difetti di programmazione dei software. La logica di questa segnalazione si rifà ad un’unica grande verità: un’applicazione web progettata in modo insicuro non potrà mai essere messa in sicurezza, nemmeno tramite i migliori interventi. Ecco perché il design dei software rientra di diritto nella Top 10 OWASP: è fondamentale progettare e scrivere codice sicuro sin dall’inizio.

Software and Data Integrity Failures

Costituisce una novità all’interno della lista. Una breve seppur importante premessa: ognuno di noi consuma un discreta varietà di software nonché una moltitudine di dati provenienti da diverse fonti: tutto questo sfugge al nostro controllo. Tuttavia, l’utilizzo di dati o applicativi senza alcuna verifica a priori in merito alla loro provenienza e identità rientra esattamente in questa categoria. Ovvero, assicuratevi che i software che utilizzate siano affidabili e sicuri.

Server-Side request Forgery

Si tratta dell’ultima voce della lista, la vulnerabilità n°10 che è stata selezionata in seguito ad un sondaggio nella community di esperti che fanno parte dell’OWASP Foundation. Per mostrarvi un esempio di quanto stabilisce questo punto della lista immaginate che un utente qualsiasi riesca ad inviare delle richieste HTTP ad un server. Ecco, in questo caso ci troviamo di fronte alla vulnerabilità.

Pensiamo che un hacker in questione che riesce ad inviare richieste lato server può riuscire ad accedere ai servizi interni ed esterni o può addirittura, inviare materiale, o fare la scansione delle porte. Solitamente questa situazione si verifica per le applicazioni web-based che non indagano sull’URL dall’utente e quindi effettuano richieste HTTP all’URL fornito. Nessuna convalida viene richiesta.

Riflessione sulle vulnerabilità accorpate in altre categorie

Nel nuovo elenco di OWASP Top 10: 2021 sono “scomparse” tre categorie di security vulnerability: XML External Entities (XXE), Cross-Site Scripting (XSS) e Insicure Deserialization. In realtà, queste vulnerabilità sono state accorpate dentro alcune delle categorie esistenti nella nuova lista

Oltre ad essere considerato uno standard di sicurezza internazionale per la sicurezza delle applicazioni web-based, Onorato Informatica impiega questa lista di vulnerabilità di riferimento per testare il livello di protezione delle web application dei suoi clienti.

La lista delle vulnerabilità OWASP è sono uno dei tanti punti da cui è necessario partire per testare la sicurezza di un’infrastruttura web: lo standard è stato pensato per essere verificato e testato sia in fase di sviluppo di un software che in fase di controllo e mantenimento.

Prima di pensare a come difendersi dalle Top 10 vulnerabilità più pericolose definite da OWASP è bene fare una breve premessa:

Le web application nel 99% dei casi contengono vulnerabilità.

Non si tratta necessariamente di vulnerabilità gravi ma sono pur sempre dei problemi di sicurezza. OWASP ci dà un’indicazione di priorità. Per far sì che gli attaccanti stiano lontani dai nostri software e di conseguenza, dai nostri dati, è opportuno prima fare un check-up delle Top 10.

Ovviamente ogni web application è pensata per essere unica nel suo genere e non replicabile. A tal proposito, applicare le medesime soluzioni di sicurezza non è mai una buona soluzione. Possiamo tuttavia dire che esistono dei comportamenti e delle azioni da mettere in atto che minimizzano i rischi di attacco per le aziende che producono o acquistano software web-based.

Il primo step da affrontare in fase di messa in sicurezza delle applicazioni è comprendere quali rischi possono minacciare l’integrità del software: questo passaggio è traducibile con il termine cultura dei rischi cybercrime.
La formazione continuativa e professionale rappresenta il focus attorno al quale costruire la sicurezza interna aziendale e in conseguenza, la sicurezza delle tecnologie. Se la vostra azienda si occupa di scrivere software è opportuno che a lato della funzionalità, i software devono essere sicuri.

Successivamente, l’azienda è bene che si affidi ad un servizio per identificare la presenza delle Top 10 vulnerabilità OWASP: 2021.

Per sapere se la vostra web application è affetta da una o più Top 10 OWASP:2021 dovete fare un Vulnerability Assessment. 

A che cosa serve un Web Vulnerability Assessment?

Saremo onesti con voi, il servizio vi aiuterà a:

• tenere monitorato il sistema di aggiornamenti;
• conoscere il livello di esposizione dell’applicazione ai rischi;
• sapere dove mancano protocolli di crittografia;
• accertare che il software funzioni in modo corretto;
• monitorare le funzionalità abilitate;

Prima di concludere il nostro intervento, ci teniamo a specificare che l’OWASP Top 10 2021 qui citata è una versione di bozza: la società deve ancora confermare definitivamente il suo contenuto. Tuttavia, possiamo affermare che quasi sicuramente le vulnerabilità resteranno invariate dall’attuale versione. Nel frattempo, restiamo in attesa di aggiornamenti da parte di OWASP Foundation.