Gli errori di sicurezza più comuni nelle applicazioni web

Mar 15, 2023 Marina Londei Approfondimenti, Hacking, Minacce, RSS 0

Le applicazioni web sono ancora il vettore preferito dagli attaccanti per effettuare data breach, rappresentando circa il 70% dei punti di ingresso degli attacchi. Questo perché, come riportato da Nick Merritt, vice presidente di Security Products and Services di Halo Security, le applicazioni sono ricche di vulnerabilità non gestite.

Gli sviluppatori si trovano in una posizione difficile nella quale devono sviluppare più feature possibili nel minor tempo, senza riuscire a implementare adeguati controlli di sicurezza o usare framework di cybersecurity. Nella sua analisi Merritt ha illustrato i cinque errori più comuni commessi dagli sviluppatori, individuati tramite ripetuti penetration test su varie applicazioni web.

Cinque errori di sicurezza degli sviluppatori

Una delle vulnerabilità più comuni presenti nelle applicazioni web è il cross-site scripting (XSS), che permette a un attaccante di iniettare codice malevolo nei siti web per ottenere e manipolare informazioni sensibili. Usare librerie per validare gli input e utilizzare il flag HttpOnly per proteggere i cookie sono due step fondamentali per proteggere gli utenti, ma non sono sufficienti: gli sviluppatori devono prendere in considerazione e implementare tutte le best practice e, nel caso di piattaforme come WordPress, tenere sempre aggiornati i componenti.

Freepik

Molti sviluppatori utilizzano dei tool automatizzati per scansionare i siti web e individuare vulnerabilità, ma nella maggior parte dei casi si rivelano inefficaci. Questi strumenti individuano solo le vulnerabilità più immediate, generano spesso falsi positivi e non sono in grado di fornire delle analisi dettagliate. Pur essendo un buon aiuto per una scansione superficiale del sito web, da soli non bastano: vanno sempre integrati test manuali più approfonditi.

Un altro errore comune commesso dagli sviluppatori è sviluppare un proprio sistema di autenticazione e credere che sia sicuro. Spesso si fanno errori durante l’implementazione dei protocolli, col risultato che gli attaccanti possono accedere alle informazioni sensibili degli utenti. È sempre meglio integrare un sistema già testato e allineato agli standard di sicurezza.

A volte le stesse funzionalità di business sono vulnerabili per loro natura. L’esempio di Merritt riguarda il carrello nei siti di e-commerce: si tratta di una feature di alto valore per gli utenti, ma esposta a pericoli come la modifica dei prodotti in carrello o del prezzo totale. Spesso le feature ad alto valore non vengono analizzate con occhio abbastanza critico.

Freepik

Infine, gli sviluppatori tendono a considerare le componenti di un sito web come parti separate, mentre è importante pensarle come un unico ecosistema. Alcune risorse vengono considerate “out-of-scope” rispetto ai propri sviluppi e di conseguenza ignorate quando si implementano misure di sicurezza; ciò può portare alla nascita di vulnerabilità anche gravi.

I business manager per primi dovrebbero comprendere i rischi di sicurezza delle applicazioni web e investire su una maggiore collaborazione tra sviluppatori e team di penetration tester. I developer, in questo modo, possono allineare il proprio codice agli standard di sicurezza, senza ricadere in errori o dover ripensare i processi al termine degli sviluppi.

Condividi l'articolo