L'OWASP Top 10 è lo standard più ampiamente riconosciuto per i rischi di sicurezza delle applicazioni web. Che Lei sia uno sviluppatore, un ingegnere della sicurezza o un leader aziendale — questa guida spiega ogni categoria con esempi reali, tecniche di rilevamento e strategie di remediation.
Un documento di sensibilizzazione periodicamente aggiornato che classifica i rischi di sicurezza più critici per le applicazioni web. Basato sull'analisi dei dati di centinaia di organizzazioni, sondaggi della community e dati reali di violazioni. Referenziato da PCI DSS, DORA, NIS2 e molti standard del settore.
La vulnerabilità più comune — trovata nel 94% delle applicazioni testate.
/api/users/123/profile in /api/users/124/profile/admin/dashboardPrecedentemente "Sensitive Data Exposure" — rinominato per focalizzarsi sulla causa principale.
Imporre HTTPS ovunque con HSTS. Utilizzare AES-256, bcrypt/Argon2, SHA-256+. Mai hardcodare segreti — utilizzare Vault o AWS Secrets Manager. Crittografare i dati a riposo. Disabilitare TLS 1.0/1.1.
La vulnerabilità web classica — ancora nella top 3 dopo due decenni.
' OR 1=1 -- e attacchi molto più sofisticatiQuery parametrizzate per tutte le interazioni con DB. Validazione input con allowlist. Encoding output per contesto. Header Content Security Policy. Account DB con privilegi minimi. Utilizzare ORM in modo coerente.
Nuova categoria — difetti a livello di design, non bug di implementazione.
Soluzione: Integrare il threat modeling (STRIDE, PASTA) nella fase di design. Utilizzare pattern di design sicuri. Scrivere casi d'uso abusivi insieme ai casi d'uso.
Trovata nel 90% delle applicazioni testate.
Processo di hardening ripetibile. Rimuovere tutte le funzionalità non necessarie. Implementare tutti gli header di sicurezza. Automatizzare la gestione config con IaC. Audit regolari delle configurazioni. Utilizzare CSPM per il cloud.
Soluzione: Mantenere inventario componenti (SBOM). Monitorare continuamente database CVE. Rimuovere dipendenze inutilizzate. Automatizzare aggiornamenti con Dependabot/Renovate.
Implementare MFA. Imporre password forti con verifica database violazioni. Rate limiting su endpoint auth. Gestione sessioni sicura (ID casuali, flag HTTPOnly/Secure). Invalidare sessioni al logout/cambio password.
Soluzione: Firme digitali su tutti software/dati. Subresource Integrity (SRI) per risorse esterne. CI/CD sicuro con controlli accesso e firme. Evitare deserializzazione insicura — utilizzare JSON.
Tempo medio per identificare una violazione: 204 giorni (IBM 2024). Senza logging adeguato, gli attaccanti possono stabilire persistenza, esfiltrate dati ed espandere la loro presenza — tutto senza attivare allarmi.
Soluzione: Registrare tutti gli eventi auth, fallimenti controllo accessi e fallimenti validazione input. Includere contesto (timestamp, utente, IP, azione). Centralizzare log in SIEM resistente alla manomissione. Implementare alerting automatizzato. Testare regolarmente capacità di rilevamento.
Nuova categoria — aggiunta per crescente prevalenza in architetture cloud-native.
http://169.254.169.254/ per credenziali IAMValidare tutti gli URL forniti dall'utente lato server. Utilizzare allowlist per domini permessi. Bloccare range IP privati (10.x, 172.16.x, 169.254.x, 127.x). Disabilitare schemi URL non necessari (file://, gopher://). Utilizzare IMDSv2 su AWS. Segmentare servizi di fetch URL.
| Categoria OWASP | Copertura KENSAI |
|---|---|
| A01 Broken Access Control | Test IDOR, bypass autorizzazione, verifiche CORS |
| A02 Cryptographic Failures | Analisi TLS, verifiche header, verifica crittografia |
| A03 Injection | SQL, XSS, command injection, SSTI, header injection |
| A04 Insecure Design | Rate limiting, risorse predicibili, test logica |
| A05 Security Misconfiguration | Header, default, information disclosure, metodi HTTP |
| A06 Vulnerable Components | Fingerprinting tecnologie, database 332K+ CVE |
| A07 Authentication Failures | Credenziali default, test sessioni, analisi cookie |
| A08 Integrity Failures | Verifiche SRI, test deserializzazione |
| A09 Logging Failures | Analisi header sicurezza, revisione gestione errori |
| A10 SSRF | Iniezione endpoint interni, test metadata cloud |
Scansione gratuita — nessun impegno, nessuna carta di credito richiesta. DAST basato su IA con reporting pronto per la conformità.
Avvii una Scansione Gratuita →Broken Access Control (A01) — trovata nel 94% delle applicazioni testate. È passata dalla posizione 5 alla posizione 1, riflettendo un fallimento diffuso nell'applicare l'autorizzazione, in particolare nelle API e nelle SPA.
L'OWASP Top 10 in sé è volontario. Tuttavia, è referenziato da PCI DSS (richiede di affrontare l'OWASP Top 10), NIS2 (prevede gestione sistematica delle vulnerabilità), DORA (riferimenti a test standard del settore) e molte valutazioni di fornitori. In pratica, è effettivamente obbligatorio.
Gli strumenti DAST automatizzati rilevano efficacemente la maggior parte delle categorie — specialmente injection (A03), cryptographic failures (A02), misconfiguration (A05) e vulnerable components (A06). Alcune categorie come Insecure Design (A04) e Logging Failures (A09) richiedono spesso valutazione manuale. Utilizzi scansione automatizzata per ampiezza + test manuale per profondità.
Ogni 3–4 anni. Rilasci principali: 2013, 2017, 2021. Ogni aggiornamento riflette cambiamenti nel panorama delle minacce — l'aggiornamento del 2021 ha introdotto Insecure Design (A04) e SSRF (A10) riorganizzando gli altri.
La sicurezza non è opzionale.
🗡️ Il Team KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →