88
In questo periodo, mentre è iniziata l’attività per
la realizzazione del prossimo Rapporto OAI 2013,
incominciano a essere pubblicati a livello mondia-
le vari rapporti sugli attacchi e sulle vulnerabilità
più critici e/o più diusi. Tra questi di particolare
interesse ‘pratico’ è il rapporto Owasp (open web
application security project, organizzazione mon-
diale no-profit,
) sui 10 rischi più cri-
tici per le applicazioni web, applicazioni che ormai
sono quelle più diuse in ogni sistema informativo.
Con un’indagine su più di 500.000 vulnerabilità,
sono state individuate le più critiche e le più dif-
fuse, seguendo una metodologia di analisi basata
sullo schema di valutazione illustrato nella figura 1.
Per il 2013 le top 10 sono le seguenti, volutamente
nella dizione inglese:
- A1 Injection
- A2 BrokenAuthentication and SessionManagement
- A3 Cross-Site Scripting (XSS)
- A4 Insecure Direct Object References
- A5 Security Misconfiguration
- A6 Sensitive Data Exposure
- A7 Missing Function Level Access Control
- A8 Cross-Site Request Forgery (CSRF)
- A9 Using Known Vulnerable Components
- A10 Unvalidated Redirects and Forwards
A parte qualche piccola dierenza nelle definizio-
ni e nel raggruppamento di talune vulnerabilità,
tale classifica è sostanzialmente la stessa dell’an-
no precedente. Le 10 vulnerabilità sono da tempo
ben conosciute e alcune, come A1 e A3, sono state
trattate in questa stessa rubrica.
Viste da vicino
Al vertice della classifica permane il così detto ‘injec-
tion flaw’, che consiste nell’invio a un interprete,
come parte di un comando o di una ‘query’ a un
data base, di dati dierenti da quelli previsti, che,
se non controllati, possono indurre l’interprete a
eseguire comandi non voluti o l’accesso ai dati sen-
za autorizzazione; tipici e diusi casi di injection
sono relativi all’SQL, all’LDAP e ai sistemi operativi.
Si deve tener conto che ogni volta che una appli-
cazione web utilizza un interprete di qualsiasi tipo,
pensiamo ad esempio ai Javascript, vi è il rischio
di un attacco di iniezione.
Al secondo posto la rottura dell’autenticazione e
della gestione delle sessioni. La non corretta imple-
mentazione e/o configurazione dei sistemi di auten-
ticazione e di gestione delle sessioni può compor-
tare per l’attaccante il furto di identità digitale, di
password, di modifica e di sfruttamento dei diritti
d’accesso e così via.
Al terzo posto XSS, cross-site scripting, una vulne-
rabilità simile all’injection A1: dipende infatti dalla
mancanza di controlli sui dati in input a form del
browser. Consente all’attaccante di creare ed ese-
guire script nel browser della vittima, così da di-
rottare sessioni, bloccare siti web o reindirizzare
l’utente su siti criminali.
luglio-agosto 2013
WEB NEL MIRINO
DEL CYBER CRIME
LE 10 VULNERABILITÀ
PIÙ CRITICHE IN AMBITO WEB
Marco Bozzetti, OAI founder
