Aggiornamenti recenti Settembre 2nd, 2025 4:53 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Il data breach contro Salesloft impatta centinaia di servizi
- Velociraptor, tool per l’analisi forense digitale, è stato sfruttato per l’accesso remoto
- Migrazione a Windows 11: le aziende devono affrontare molte sfide, ma qualsiasi ritardo è pericoloso
- Android, più sicurezza con la verifica dell’identità sviluppatori
- IoT, i dispositivi connessi sono ancora troppo esposti alle minacce: l’allarme di ACN
Gli errori di sicurezza più comuni nelle applicazioni web
Le applicazioni web sono ancora il vettore preferito dagli attaccanti per effettuare data breach, rappresentando circa il 70% dei punti di ingresso degli attacchi. Questo perché, come riportato da Nick Merritt, vice presidente di Security Products and Services di Halo Security, le applicazioni sono ricche di vulnerabilità non gestite.
Gli sviluppatori si trovano in una posizione difficile nella quale devono sviluppare più feature possibili nel minor tempo, senza riuscire a implementare adeguati controlli di sicurezza o usare framework di cybersecurity. Nella sua analisi Merritt ha illustrato i cinque errori più comuni commessi dagli sviluppatori, individuati tramite ripetuti penetration test su varie applicazioni web.
Cinque errori di sicurezza degli sviluppatori
Una delle vulnerabilità più comuni presenti nelle applicazioni web è il cross-site scripting (XSS), che permette a un attaccante di iniettare codice malevolo nei siti web per ottenere e manipolare informazioni sensibili. Usare librerie per validare gli input e utilizzare il flag HttpOnly per proteggere i cookie sono due step fondamentali per proteggere gli utenti, ma non sono sufficienti: gli sviluppatori devono prendere in considerazione e implementare tutte le best practice e, nel caso di piattaforme come WordPress, tenere sempre aggiornati i componenti.
Freepik
Molti sviluppatori utilizzano dei tool automatizzati per scansionare i siti web e individuare vulnerabilità, ma nella maggior parte dei casi si rivelano inefficaci. Questi strumenti individuano solo le vulnerabilità più immediate, generano spesso falsi positivi e non sono in grado di fornire delle analisi dettagliate. Pur essendo un buon aiuto per una scansione superficiale del sito web, da soli non bastano: vanno sempre integrati test manuali più approfonditi.
Un altro errore comune commesso dagli sviluppatori è sviluppare un proprio sistema di autenticazione e credere che sia sicuro. Spesso si fanno errori durante l’implementazione dei protocolli, col risultato che gli attaccanti possono accedere alle informazioni sensibili degli utenti. È sempre meglio integrare un sistema già testato e allineato agli standard di sicurezza.
A volte le stesse funzionalità di business sono vulnerabili per loro natura. L’esempio di Merritt riguarda il carrello nei siti di e-commerce: si tratta di una feature di alto valore per gli utenti, ma esposta a pericoli come la modifica dei prodotti in carrello o del prezzo totale. Spesso le feature ad alto valore non vengono analizzate con occhio abbastanza critico.
Freepik
Infine, gli sviluppatori tendono a considerare le componenti di un sito web come parti separate, mentre è importante pensarle come un unico ecosistema. Alcune risorse vengono considerate “out-of-scope” rispetto ai propri sviluppi e di conseguenza ignorate quando si implementano misure di sicurezza; ciò può portare alla nascita di vulnerabilità anche gravi.
I business manager per primi dovrebbero comprendere i rischi di sicurezza delle applicazioni web e investire su una maggiore collaborazione tra sviluppatori e team di penetration tester. I developer, in questo modo, possono allineare il proprio codice agli standard di sicurezza, senza ricadere in errori o dover ripensare i processi al termine degli sviluppi.
Condividi l'articolo
- applicazioni web, cross-site scripting, developer, penetration testing, sviluppo web, vulnerabilità, XSS
Dispositivi SonicWall colpiti da un malware che resiste agli update del firmware
Lo scorso anno sono stati divulgati 10 milioni di segreti su GitHub
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle... -
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Il data breach contro Salesloft impatta centinaia di Lo scorso 20 agosto Salesloft aveva avvertito di un... -
Velociraptor, tool per l’analisi forense digitale, è... Qualche giorno fa la Counter Threat Unit di Sophos ha... -
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto...
-
Android, più sicurezza con la verifica... Google ha deciso di aumentare la sicurezza dei dispositivi... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle...
Ransomware: la serie
No posts found.