Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Gli errori di sicurezza più comuni nelle applicazioni web
Le applicazioni web sono ancora il vettore preferito dagli attaccanti per effettuare data breach, rappresentando circa il 70% dei punti di ingresso degli attacchi. Questo perché, come riportato da Nick Merritt, vice presidente di Security Products and Services di Halo Security, le applicazioni sono ricche di vulnerabilità non gestite.
Gli sviluppatori si trovano in una posizione difficile nella quale devono sviluppare più feature possibili nel minor tempo, senza riuscire a implementare adeguati controlli di sicurezza o usare framework di cybersecurity. Nella sua analisi Merritt ha illustrato i cinque errori più comuni commessi dagli sviluppatori, individuati tramite ripetuti penetration test su varie applicazioni web.
Cinque errori di sicurezza degli sviluppatori
Una delle vulnerabilità più comuni presenti nelle applicazioni web è il cross-site scripting (XSS), che permette a un attaccante di iniettare codice malevolo nei siti web per ottenere e manipolare informazioni sensibili. Usare librerie per validare gli input e utilizzare il flag HttpOnly per proteggere i cookie sono due step fondamentali per proteggere gli utenti, ma non sono sufficienti: gli sviluppatori devono prendere in considerazione e implementare tutte le best practice e, nel caso di piattaforme come WordPress, tenere sempre aggiornati i componenti.
Freepik
Molti sviluppatori utilizzano dei tool automatizzati per scansionare i siti web e individuare vulnerabilità, ma nella maggior parte dei casi si rivelano inefficaci. Questi strumenti individuano solo le vulnerabilità più immediate, generano spesso falsi positivi e non sono in grado di fornire delle analisi dettagliate. Pur essendo un buon aiuto per una scansione superficiale del sito web, da soli non bastano: vanno sempre integrati test manuali più approfonditi.
Un altro errore comune commesso dagli sviluppatori è sviluppare un proprio sistema di autenticazione e credere che sia sicuro. Spesso si fanno errori durante l’implementazione dei protocolli, col risultato che gli attaccanti possono accedere alle informazioni sensibili degli utenti. È sempre meglio integrare un sistema già testato e allineato agli standard di sicurezza.
A volte le stesse funzionalità di business sono vulnerabili per loro natura. L’esempio di Merritt riguarda il carrello nei siti di e-commerce: si tratta di una feature di alto valore per gli utenti, ma esposta a pericoli come la modifica dei prodotti in carrello o del prezzo totale. Spesso le feature ad alto valore non vengono analizzate con occhio abbastanza critico.
Freepik
Infine, gli sviluppatori tendono a considerare le componenti di un sito web come parti separate, mentre è importante pensarle come un unico ecosistema. Alcune risorse vengono considerate “out-of-scope” rispetto ai propri sviluppi e di conseguenza ignorate quando si implementano misure di sicurezza; ciò può portare alla nascita di vulnerabilità anche gravi.
I business manager per primi dovrebbero comprendere i rischi di sicurezza delle applicazioni web e investire su una maggiore collaborazione tra sviluppatori e team di penetration tester. I developer, in questo modo, possono allineare il proprio codice agli standard di sicurezza, senza ricadere in errori o dover ripensare i processi al termine degli sviluppi.
Condividi l'articolo
- applicazioni web, cross-site scripting, developer, penetration testing, sviluppo web, vulnerabilità, XSS
Dispositivi SonicWall colpiti da un malware che resiste agli update del firmware
Lo scorso anno sono stati divulgati 10 milioni di segreti su GitHub
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
