Aggiornamenti recenti Settembre 17th, 2025 4:45 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- MuddyWater si evolve: attacchi più sofisticati e infrastruttura più resiliente
- Un attacco supply chain ha compromesso oltre 40 pacchetti NPM
- TeamItaly, presentata la nuova squadra di giovani cyber defender
- CERT-AGID 6-12 settembre: i ransomware mostrano una nuova tattica di ingegneria sociale
- L’IA diventa arma e vittima per il cybercrimine: il report di Crowdstrike
Gli errori di sicurezza più comuni nelle applicazioni web
Le applicazioni web sono ancora il vettore preferito dagli attaccanti per effettuare data breach, rappresentando circa il 70% dei punti di ingresso degli attacchi. Questo perché, come riportato da Nick Merritt, vice presidente di Security Products and Services di Halo Security, le applicazioni sono ricche di vulnerabilità non gestite.
Gli sviluppatori si trovano in una posizione difficile nella quale devono sviluppare più feature possibili nel minor tempo, senza riuscire a implementare adeguati controlli di sicurezza o usare framework di cybersecurity. Nella sua analisi Merritt ha illustrato i cinque errori più comuni commessi dagli sviluppatori, individuati tramite ripetuti penetration test su varie applicazioni web.
Cinque errori di sicurezza degli sviluppatori
Una delle vulnerabilità più comuni presenti nelle applicazioni web è il cross-site scripting (XSS), che permette a un attaccante di iniettare codice malevolo nei siti web per ottenere e manipolare informazioni sensibili. Usare librerie per validare gli input e utilizzare il flag HttpOnly per proteggere i cookie sono due step fondamentali per proteggere gli utenti, ma non sono sufficienti: gli sviluppatori devono prendere in considerazione e implementare tutte le best practice e, nel caso di piattaforme come WordPress, tenere sempre aggiornati i componenti.
Freepik
Molti sviluppatori utilizzano dei tool automatizzati per scansionare i siti web e individuare vulnerabilità, ma nella maggior parte dei casi si rivelano inefficaci. Questi strumenti individuano solo le vulnerabilità più immediate, generano spesso falsi positivi e non sono in grado di fornire delle analisi dettagliate. Pur essendo un buon aiuto per una scansione superficiale del sito web, da soli non bastano: vanno sempre integrati test manuali più approfonditi.
Un altro errore comune commesso dagli sviluppatori è sviluppare un proprio sistema di autenticazione e credere che sia sicuro. Spesso si fanno errori durante l’implementazione dei protocolli, col risultato che gli attaccanti possono accedere alle informazioni sensibili degli utenti. È sempre meglio integrare un sistema già testato e allineato agli standard di sicurezza.
A volte le stesse funzionalità di business sono vulnerabili per loro natura. L’esempio di Merritt riguarda il carrello nei siti di e-commerce: si tratta di una feature di alto valore per gli utenti, ma esposta a pericoli come la modifica dei prodotti in carrello o del prezzo totale. Spesso le feature ad alto valore non vengono analizzate con occhio abbastanza critico.
Freepik
Infine, gli sviluppatori tendono a considerare le componenti di un sito web come parti separate, mentre è importante pensarle come un unico ecosistema. Alcune risorse vengono considerate “out-of-scope” rispetto ai propri sviluppi e di conseguenza ignorate quando si implementano misure di sicurezza; ciò può portare alla nascita di vulnerabilità anche gravi.
I business manager per primi dovrebbero comprendere i rischi di sicurezza delle applicazioni web e investire su una maggiore collaborazione tra sviluppatori e team di penetration tester. I developer, in questo modo, possono allineare il proprio codice agli standard di sicurezza, senza ricadere in errori o dover ripensare i processi al termine degli sviluppi.
Condividi l'articolo
- applicazioni web, cross-site scripting, developer, penetration testing, sviluppo web, vulnerabilità, XSS
Dispositivi SonicWall colpiti da un malware che resiste agli update del firmware
Lo scorso anno sono stati divulgati 10 milioni di segreti su GitHub
Articoli correlati
Altro in questa categoria
Approfondimenti
-
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli... -
L’IA diventa arma e vittima per il cybercrimine: il... L’intelligenza artificiale diventa non solo... -
Report Acronis: il ransomware rimane la minaccia principale... Il ransomware continua a dilagare e rimane la minaccia... -
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli...
-
Un attacco supply chain ha compromesso oltre 40 pacchetti... I ricercatori della compagnia di sicurezza Socket hanno... -
TeamItaly, presentata la nuova squadra di giovani cyber... La nuova squadra italiana per le competizioni di... -
CERT-AGID 6-12 settembre: i ransomware mostrano una nuova... La scorsa settimana il CERT-AGID ha identificato e... -
L’IA diventa arma e vittima per il cybercrimine: il... L’intelligenza artificiale diventa non solo...
Ransomware: la serie
No posts found.