Gli esperti di sicurezza del progetto OWASP, acronimo per Open Web Application Security Project, hanno aggiornato la lista delle 10 vulnerabilità più diffuse in ambito di Web applications.
Questa “Top Ten List” del 2010 segue quelle precedentemente pubblicate rispettivamente nel 2004 e nel 2007.
Dave Wichers, membro del consiglio OWASP, ha confermato che in questa nuova edizione ci si è concentrati anche su una analisi dei potenziali rischi e non solo ad una mera lista di possibili vulnerabilità.
Lo scopo è naturalmente quello di coinvolgere le organizzazioni e le società, cercando di far maturare sempre più la consapevolezza della necessità di una maggiore attenzione a tutto il processo di gestione e messa in sicurezza delle applicazioni Web.
Nel documento aggiornato di 22 pagine sono state ampliate le informazioni inerenti approfondimenti sui vari vettori d’attacco. Gli argomenti sono esposti in maniera più chiara, cercando di dare più riferimenti possibili al materiale aggiuntivo.
Ecco la lista come presentata nel documento:
- Injection;
- Cross-Site Scripting (XSS);
- Errata gestione dell’autenticazione e della sessione;
- Riferimenti insicuri a risorse;
- Cross-Site Request Forgery (CSRF);
- Errate configurazioni di sicurezza;
- Memorizzazione non protetta dei dati sensibili;
- Errate/mancate politiche di accesso agli URL;
- Mancata protezione dei canali di comunicazione (es. no SSL);
- Redirects e forwards non validati;
Questa iniziativa dell’OWASP va ad aggiungersi a quella di “MITRE e SANS Institute” che hanno rilasciato a febbraio la seconda edizione della “Top 25 Most Dangerous Programming Errors“.