Ripartiamo da Settembre per la promozione di nuove iniziative a carattere informativo sulla Sicurezza Informatica, Iot, Javascript e tanto altro. Oggi la OWASP ovvero la Open Web Application Security Project ha stilato una lista delle 10 Minacce del 2021 relativo al mondo delle Web Ap .
Vediamo la nuova classifica relativo al 2021
- Broken Access Control La vulnerabilità del controllo degli accessi comprende principalmente l’ escalation dei privilegi, Url dannosi, il bypass del controllo degli accessi, l’ errata configurazione del CORS e la manomissione delle chiavi primarie
- Cryptographic Failures Questo è dipeso da l’ utilizzo di algoritmini di cifratura deboli, impossibilità di implementare la crittografia, la trasmissione di dati in chiaro e/o l’ includere errori durante la transizione dei dati.
- Injection Le iniezioni di codice malevole influiscono sia su SQL che NO SQL, accesso LDAP che possono essere causati da errori di sanificazione degli input, mancata protezione dei percorsi dei file facili per la generazione di vulnerabilità XSS
- Insecure Design questa è una novità nella definizione. Gli elementi di progettazione non sicura sono generalmente descritti da OWASP come “Controlli di Progettazione mancanti o inefficaci”. La Preoccupazione sulla mancata protezione dei dati archiaviati, problemi di programmazione logica e la visualizzazione di contenuti che rivelano informazioni sensibili
- Security Misconfiguration si incappa in questa categoria quando le applicazioni non sono attenzionate bene nella loro sicurezza e configurazione, funzionalità non necessarie, privilegi configurati malamente, account predefiniti mantenuti attivi.
- Vulnerable and Outdated Components Questa categoria riguarda la parte client e server e si concentra sui componenti, su errori di manutenzione dei componenti stessi, sistemi di supporto obsoleti, come librerie o server web
- Identification and Authentication Failures I problemi di sicurezza includono autenticazione impropria, correzione della sessione, mancata corrispondenza dei certificati, autorizzazione di credenziali deboli e mancanza di protezione contro gli attacchi di forza bruta.
- Software and Data Integrity Failures è una categoria molto interessante dove fa riferimento all’ integrità dei dati, come la deserializzazione di dati non attendibili o il mancato controllo del codice e degli aggiornamenti quando vengono estratti da una fonte remota.
- Security Logging and Monitoring Failures Rientrano in questa categoria i problemi che possono ostacolare l’analisi di una violazione dei dati o di altre forme di attacco, inclusi problemi di registrazione, mancata registrazione di feed di informazioni rilevanti per la sicurezza o registrazione locale dei dati.
- Server-Side Request Forgery La vulnerabilità SSRF si verifica quando un server non convalida gli URL inviati dall’ utente quando recupera una risorsa remota.
Per maggiori informazioni visita le fonti:
http://cwe.mitre.org
Commenti recenti