OWASP Top 10 2025

Prerequisites:

• Comprensione generale del ciclo di vita dello sviluppo web
• Esperienza nello sviluppo e nella sicurezza delle applicazioni web

Audience

• Sviluppatori Web
• Leader

Overview:

L'OWASP Top 10 è un documento open-source sviluppato dal progetto Open Web Application Security Project (OWASP) che identifica le minacce e vulnerabilità web più comuni. L'OWASP Top 10 fornisce una guida completa sulla sicurezza delle applicazioni web, sui rischi, sugli impatti e sulle contromisure.

Questo training guidato dal formatore (online o in sede) è rivolto a sviluppatori web e leader che desiderano esplorare e implementare lo standard di riferimento OWASP Top 10 per proteggere le loro applicazioni web.

Al termine di questo training, i partecipanti saranno in grado di pianificare, implementare, proteggere e monitorare le proprie applicazioni web e servizi utilizzando il documento OWASP Top 10.

Formato del Corso

• Lezione interattiva e discussione.
• Numerosi esercizi e pratica.
• Implementazione pratica in un ambiente live-lab.

Opzioni di Personalizzazione del Corso

• Per richiedere una formazione personalizzata per questo corso, contattateci per organizzare.

Course Outline:

A01:2025 - Controllo d'Accesso Infranto
A02:2025 - Mala Configurazione della Sicurezza
A03:2025 - Fallimenti nella Catena di Fornitura del Software
A04:2025 - Fallimenti Crittografici
A05:2025 - Iniezione
A06:2025 - Progettazione Insicura
A07:2025 - Fallimenti di Autenticazione
A08:2025 - Fallimenti dell'Integrità del Software o dei Dati
A09:2025 - Fallimenti nel Logging e Nell'Allertamento per la Sicurezza
A10:2025 - Gestione Inadeguata delle Condizioni Eccezionali

A01:2025 Controllo d'Accesso Infranto - Il controllo d'accesso impone una politica tale che gli utenti non possano agire al di fuori dei loro permessi previsti. I fallimenti tipicamente portano a divulgazione non autorizzata delle informazioni, modifica o distruzione di tutti i dati, o esecuzione di funzioni aziendali al di fuori dei limiti dell'utente.

A02:2025 Mala Configurazione della Sicurezza - La mala configurazione della sicurezza si verifica quando un sistema, applicazione o servizio cloud è configurato in modo errato dal punto di vista della sicurezza, creando vulnerabilità.

A03:2025 Fallimenti nella Catena di Fornitura del Software - I fallimenti nella catena di fornitura del software sono interruzioni o compromessi nel processo di costruzione, distribuzione o aggiornamento del software. Sono spesso causati da vulnerabilità o modifiche maliziose in codice terzo, strumenti o altre dipendenze su cui il sistema si basa.

A04:2025 Fallimenti Crittografici - Generalmente parlando, tutti i dati in transito dovrebbero essere crittografati a livello di trasporto (livello 4 OSI). Le barriere precedenti come le prestazioni della CPU e la gestione delle chiavi private/certificati sono ora gestite dalle CPU che hanno istruzioni progettate per accelerare la crittografia (ad esempio: supporto AES) e dalla semplificazione della gestione delle chiavi private e dei certificati grazie a servizi come LetsEncrypt.org, con i principali fornitori di cloud offrendo servizi di gestione dei certificati ancora più integrati per le loro specifiche piattaforme. Oltre alla sicurezza del livello di trasporto, è importante determinare quali dati necessitano di crittografia a riposo e quali dati necessitano di criptazione aggiuntiva in transito (al livello applicativo, livello 7 OSI). Ad esempio, password, numeri di carta di credito, record sanitari, informazioni personali e segreti aziendali richiedono protezione extra, specialmente se i dati rientrano nelle leggi sulla privacy, come il Regolamento Generale per la Protezione dei Dati (GDPR) dell'UE o regolamenti come lo Standard di Sicurezza dei Dati PCI (PCI DSS).

A05:2025 Iniezione - Una vulnerabilità di iniezione è un difetto del sistema che consente a un attaccante di inserire codice o comandi maliziosi (come SQL o shell code) nei campi di input di un programma, ingannando il sistema per eseguire il codice o i comandi come se fossero parte del sistema. Ciò può portare a conseguenze veramente gravi.

A06:2025 Progettazione Insicura - La progettazione insicura è una categoria ampia che rappresenta diverse debolezze, espressa come “controllo di progettazione mancante o inefficace”. La progettazione insicura non è la fonte di tutte le altre categorie di rischi del Top Ten. Si noti che c'è una differenza tra progettazione insicura e implementazione insicura. Distinguiamo i difetti di progettazione dai difetti di implementazione per un motivo, hanno cause radici diverse, si verificano in tempi diversi nel processo di sviluppo e hanno rimedi diversi. Una progettazione sicura può ancora avere difetti di implementazione che portano a vulnerabilità sfruttabili. Un'implementazione perfetta non può correggere una progettazione insicura poiché i controlli di sicurezza necessari per difendersi da specifici attacchi non sono mai stati creati. Uno dei fattori che contribuiscono alla progettazione insicura è la mancanza di un profilo del rischio aziendale inherente al software o sistema in sviluppo, e quindi il fallimento nel determinare a quale livello di progettazione della sicurezza si richieda.

A07:2025 Fallimenti di Autenticazione - Quando un attaccante riesce a ingannare un sistema riconoscendo un utente non valido o errato come legittimo, questa vulnerabilità è presente.

A08:2025 Fallimenti dell'Integrità del Software o dei Dati - I fallimenti di integrità del software e dei dati si riferiscono a codice e infrastrutture che non proteggono contro il trattamento come valido e fidato di codice o dati invalidi o non fidati. Un esempio di questo è quando un'applicazione si basa su plugin, librerie o moduli da fonti non fidate, repository e reti di distribuzione del contenuto (CDNs). Una pipeline CI/CD insicura che non consuma e fornisce controlli sull'integrità del software può introdurre la potenziale possibilità di accesso non autorizzato, codice insicuro o malizioso, o compromesso del sistema. Un altro esempio è una pipeline CI/CD che estrae codice o artefatti da luoghi non fidati e/o non li verifica prima dell'uso (controllando la firma o un meccanismo simile).

A09:2025 Fallimenti nel Logging e Nell'Allertamento per la Sicurezza  - Senza logging e monitoraggio, gli attacchi e le violazioni non possono essere rilevati, e senza allertamenti è molto difficile rispondere rapidamente ed efficacemente durante un incidente di sicurezza. Un insufficiente logging, monitoraggio continuo, rilevamento e allertamento per avviare risposte attive si verifica ogni volta.

A10:2025 Gestione Inadeguata delle Condizioni Eccezionali - La gestione inadeguata delle condizioni eccezionali nel software si verifica quando i programmi non riescono a prevenire, rilevare e rispondere a situazioni insolite e imprevedibili, che portano a crash, comportamento inaspettato e talvolta vulnerabilità. Ciò può coinvolgere uno o più dei seguenti difetti: l'applicazione non preclude una situazione insolita dal verificarsi, non identifica la situazione mentre si verifica, e/o risponde male o affatto alla situazione successivamente.

Discuteremo e presenteremo aspetti pratici di:

Controllo d'Accesso Infranto
- Esempi pratici di controlli d'accesso infranti
- Controlli d'accesso sicuri e best practice

Mala Configurazione della Sicurezza
- Esempi reali di mala configurazione
- Passaggi per prevenire la mala configurazione, inclusa la gestione della configurazione e gli strumenti di automazione

Fallimenti Crittografici
- Analisi dettagliata dei fallimenti crittografici come algoritmi di crittografia deboli o gestione delle chiavi impropria
- Importanza di meccanismi crittografici forti, protocolli sicuri (SSL/TLS), e esempi di crittografia moderna nella sicurezza web

Attacchi di Iniezione
- Analisi dettagliata dell'iniezione SQL, NoSQL, OS e LDAP
- Tecniche di mitigazione utilizzando istruzioni preparate, query parametrizzate e escaping degli input

Progettazione Insicura
- Esploreremo i difetti di progettazione che possono portare a vulnerabilità, come la validazione impropria dell'input
- Studieremo strategie per architetture sicure e principi di progettazione sicuri

Fallimenti di Autenticazione
- Problemi comuni di autenticazione
- Strategie di autenticazione sicura, come l'autenticazione a più fattori e la gestione corretta delle sessioni

Fallimenti dell'Integrità del Software o dei Dati
- Focus su problemi come aggiornamenti software non fidati e manipolazione dei dati
- Meccanismi di aggiornamento sicuri e controlli sull'integrità dei dati

Fallimenti nel Logging e Monitoraggio della Sicurezza
- Importanza del logging delle informazioni relative alla sicurezza e del monitoraggio per attività sospette
- Strumenti e pratiche per un logging corretto e il monitoraggio in tempo reale per rilevare le violazioni precocemente