L'OWASP Top 10 è lo standard più ampiamente riconosciuto per i rischi di sicurezza delle applicazioni web. Che Lei sia uno sviluppatore, un ingegnere della sicurezza o un leader aziendale — questa guida spiega ogni categoria con esempi reali, tecniche di rilevamento e strategie di risoluzione.
Un documento di sensibilizzazione aggiornato periodicamente che classifica i rischi di sicurezza più critici per le applicazioni web. Basato sull'analisi dei dati di centinaia di organizzazioni, sondaggi della community e dati reali di violazioni. Citato da PCI DSS, DORA, NIS2 e molti standard del settore.
Vulnerabilità #1 più comune — trovata nel 94% delle applicazioni testate.
/api/users/123/profile in /api/users/124/profile/admin/dashboardPrecedentemente "Esposizione di Dati Sensibili" — rinominato per focalizzarsi sulla causa principale.
Applicare HTTPS ovunque con HSTS. Usare AES-256, bcrypt/Argon2, SHA-256+. Mai codificare segreti — usare Vault o AWS Secrets Manager. Crittografare i dati a riposo. Disabilitare TLS 1.0/1.1.
La vulnerabilità web classica — ancora nella top 3 dopo due decenni.
' OR 1=1 -- e attacchi molto più sofisticatiQuery parametrizzate per tutte le interazioni DB. Validazione input con allowlist. Output encoding per contesto. Header Content Security Policy. Account DB a minimo privilegio. Usare gli ORM in modo coerente.
Nuova categoria — difetti a livello di design, non bug di implementazione.
Soluzione: Integrare threat modeling (STRIDE, PASTA) nella fase di design. Usare pattern di design sicuro. Scrivere abuse case insieme agli use case.
Trovata nel 90% delle applicazioni testate.
Processo di hardening ripetibile. Rimuovere tutte le funzionalità non necessarie. Implementare tutti gli header di sicurezza. Automatizzare la gestione configurazione con IaC. Audit regolari della configurazione. Usare CSPM per il cloud.
Soluzione: Mantenere inventario componenti (SBOM). Monitorare continuamente i database CVE. Rimuovere dipendenze non usate. Automatizzare gli aggiornamenti con Dependabot/Renovate.
Implementare MFA. Imporre password forti con verifica database violazioni. Rate limiting sugli endpoint di autenticazione. Gestione sessione sicura (ID casuali, flag HTTPOnly/Secure). Invalidare sessioni su logout/cambio password.
Soluzione: Firme digitali su tutto software/dati. Subresource Integrity (SRI) per risorse esterne. CI/CD sicuro con controlli accessi e firma. Evitare deserializzazione insicura — usare JSON.
Tempo medio per identificare una violazione: 204 giorni (IBM 2024). Senza logging adeguato, gli attaccanti possono stabilire persistenza, esfiltrare dati ed espandere il loro controllo — tutto senza attivare allarmi.
Soluzione: Registrare tutti gli eventi di autenticazione, fallimenti controllo accessi e fallimenti validazione input. Includere contesto (timestamp, utente, IP, azione). Centralizzare i log in un SIEM resistente alle manomissioni. Implementare allerta automatizzata. Testare regolarmente le capacità di rilevamento.
Nuova categoria — aggiunta per crescente prevalenza nelle architetture cloud-native.
http://169.254.169.254/ per credenziali IAMValidare tutti gli URL forniti dall'utente lato server. Usare allowlist per domini permessi. Bloccare range IP privati (10.x, 172.16.x, 169.254.x, 127.x). Disabilitare schemi URL non necessari (file://, gopher://). Usare IMDSv2 su AWS. Segmentare i servizi che recuperano URL.
| Categoria OWASP | Copertura KENSAI |
|---|---|
| A01 Controllo Accessi Compromesso | Testing IDOR, bypass autorizzazione, controlli CORS |
| A02 Fallimenti Crittografici | Analisi TLS, controlli header, verifica crittografia |
| A03 Injection | SQL, XSS, command injection, SSTI, header injection |
| A04 Design Insicuro | Rate limiting, risorse prevedibili, testing logica |
| A05 Configurazione Errata Sicurezza | Header, default, information disclosure, metodi HTTP |
| A06 Componenti Vulnerabili | Fingerprinting tecnologia, database 332K+ CVE |
| A07 Fallimenti Autenticazione | Credenziali predefinite, testing sessione, analisi cookie |
| A08 Fallimenti Integrità | Controlli SRI, testing deserializzazione |
| A09 Fallimenti Logging | Analisi header sicurezza, revisione gestione errori |
| A10 SSRF | Injection endpoint interni, testing metadati cloud |
Scansione gratuita — nessun impegno, nessuna carta di credito richiesta. DAST basato su IA con report pronti per la compliance.
Inizi la Scansione Gratuita →Controllo degli Accessi Compromesso (A01) — trovata nel 94% delle applicazioni testate. È passata dalla posizione 5 alla posizione 1, riflettendo il diffuso fallimento nell'applicare l'autorizzazione, particolarmente in API e SPA.
L'OWASP Top 10 stesso è volontario. Tuttavia, è citato da PCI DSS (richiede di affrontare l'OWASP Top 10), NIS2 (si aspetta gestione sistematica delle vulnerabilità), DORA (riferisce testing standard del settore) e molte valutazioni vendor. In pratica, è effettivamente obbligatorio.
Gli strumenti DAST automatizzati rilevano efficacemente la maggior parte delle categorie — specialmente injection (A03), fallimenti crittografici (A02), configurazione errata (A05) e componenti vulnerabili (A06). Alcune categorie come Design Insicuro (A04) e Fallimenti Logging (A09) richiedono spesso valutazione manuale. Usi scansione automatizzata per ampiezza + testing manuale per profondità.
Ogni 3–4 anni. Rilasci principali: 2013, 2017, 2021. Ogni aggiornamento riflette i cambiamenti nel panorama delle minacce — l'aggiornamento 2021 ha introdotto Design Insicuro (A04) e SSRF (A10) riorganizzando gli altri.
La sicurezza non è opzionale.
🗡️ Il Team KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →