Aggiornamenti recenti Settembre 25th, 2023 2:00 PM
Mar 15, 2023 Marina Londei Approfondimenti, Hacking, Minacce, RSS 0
Le applicazioni web sono ancora il vettore preferito dagli attaccanti per effettuare data breach, rappresentando circa il 70% dei punti di ingresso degli attacchi. Questo perché, come riportato da Nick Merritt, vice presidente di Security Products and Services di Halo Security, le applicazioni sono ricche di vulnerabilità non gestite.
Gli sviluppatori si trovano in una posizione difficile nella quale devono sviluppare più feature possibili nel minor tempo, senza riuscire a implementare adeguati controlli di sicurezza o usare framework di cybersecurity. Nella sua analisi Merritt ha illustrato i cinque errori più comuni commessi dagli sviluppatori, individuati tramite ripetuti penetration test su varie applicazioni web.
Una delle vulnerabilità più comuni presenti nelle applicazioni web è il cross-site scripting (XSS), che permette a un attaccante di iniettare codice malevolo nei siti web per ottenere e manipolare informazioni sensibili. Usare librerie per validare gli input e utilizzare il flag HttpOnly per proteggere i cookie sono due step fondamentali per proteggere gli utenti, ma non sono sufficienti: gli sviluppatori devono prendere in considerazione e implementare tutte le best practice e, nel caso di piattaforme come WordPress, tenere sempre aggiornati i componenti.
Freepik
Molti sviluppatori utilizzano dei tool automatizzati per scansionare i siti web e individuare vulnerabilità, ma nella maggior parte dei casi si rivelano inefficaci. Questi strumenti individuano solo le vulnerabilità più immediate, generano spesso falsi positivi e non sono in grado di fornire delle analisi dettagliate. Pur essendo un buon aiuto per una scansione superficiale del sito web, da soli non bastano: vanno sempre integrati test manuali più approfonditi.
Un altro errore comune commesso dagli sviluppatori è sviluppare un proprio sistema di autenticazione e credere che sia sicuro. Spesso si fanno errori durante l’implementazione dei protocolli, col risultato che gli attaccanti possono accedere alle informazioni sensibili degli utenti. È sempre meglio integrare un sistema già testato e allineato agli standard di sicurezza.
A volte le stesse funzionalità di business sono vulnerabili per loro natura. L’esempio di Merritt riguarda il carrello nei siti di e-commerce: si tratta di una feature di alto valore per gli utenti, ma esposta a pericoli come la modifica dei prodotti in carrello o del prezzo totale. Spesso le feature ad alto valore non vengono analizzate con occhio abbastanza critico.
Freepik
Infine, gli sviluppatori tendono a considerare le componenti di un sito web come parti separate, mentre è importante pensarle come un unico ecosistema. Alcune risorse vengono considerate “out-of-scope” rispetto ai propri sviluppi e di conseguenza ignorate quando si implementano misure di sicurezza; ciò può portare alla nascita di vulnerabilità anche gravi.
I business manager per primi dovrebbero comprendere i rischi di sicurezza delle applicazioni web e investire su una maggiore collaborazione tra sviluppatori e team di penetration tester. I developer, in questo modo, possono allineare il proprio codice agli standard di sicurezza, senza ricadere in errori o dover ripensare i processi al termine degli sviluppi.
Set 22, 2023 0
Set 19, 2023 0
Set 18, 2023 0
Set 15, 2023 0
Set 25, 2023 0
Set 25, 2023 0
Set 22, 2023 0
Set 21, 2023 0
Set 19, 2023 0
Uno dei modi migliori per condividere idee e favorire la...Set 18, 2023 0
I dispositivi IoT stanno trasformando l’operatività...Set 18, 2023 0
La sicurezza delle password è un aspetto cruciale per...Set 13, 2023 0
Il fenomeno dei ransomware non si arresta e, anzi, continua...Set 13, 2023 0
Il furto di account rimane uno dei principali problemi di...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Set 25, 2023 0
Il team di sicurezza di Sonatype ha individuato unaSet 25, 2023 0
SentinelLabs e QGroup GmbH hanno individuato un nuovo...Set 22, 2023 0
Signal Foundation, l’azienda dietro l’omonima...Set 22, 2023 0
GitLab ha rilasciato due patch urgenti per risolvere una...Set 21, 2023 0
Nel corso di Innovation 2023, Intel ha annunciato il...