← Torna al Blog
Ricerca 25 min lettura

OWASP Top 10 2025: La Guida Completa ai Rischi di Sicurezza delle Applicazioni Web

L'OWASP Top 10 è lo standard più ampiamente riconosciuto per i rischi di sicurezza delle applicazioni web. Che Lei sia uno sviluppatore, un ingegnere della sicurezza o un leader aziendale — questa guida spiega ogni categoria con esempi reali, tecniche di rilevamento e strategie di remediation.

ℹ️ Cos'è l'OWASP Top 10?

Un documento di sensibilizzazione periodicamente aggiornato che classifica i rischi di sicurezza più critici per le applicazioni web. Basato sull'analisi dei dati di centinaia di organizzazioni, sondaggi della community e dati reali di violazioni. Referenziato da PCI DSS, DORA, NIS2 e molti standard del settore.


A01 Broken Access Control

La vulnerabilità più comune — trovata nel 94% delle applicazioni testate.

⚠️ Esempi Reali

  • IDOR: Modificare /api/users/123/profile in /api/users/124/profile
  • Escalation di privilegi: Utente normale che accede a /admin/dashboard
  • Mancanza di controllo accesso a livello di funzione: API che verifica l'autenticazione ma non l'autorizzazione
  • Configurazione errata CORS: Permettere a siti malevoli di effettuare richieste autenticate

✅ Remediation

  • Implementare il controllo accessi lato server — mai affidarsi al lato client
  • Negare per default — richiedere autorizzazioni esplicite
  • Implementare RBAC o ABAC appropriati
  • Registrare e allertare sui fallimenti del controllo accessi
  • Limitare la frequenza di accesso alle API

A02 Cryptographic Failures

Precedentemente "Sensitive Data Exposure" — rinominato per focalizzarsi sulla causa principale.

⚠️ Errori Comuni

  • Pagine di login che trasmettono credenziali su HTTP in chiaro
  • Supporto a TLS 1.0/1.1 o cipher suite deboli
  • Password archiviate con MD5 o SHA-1 invece di bcrypt/Argon2
  • Chiavi di crittografia hardcoded nel codice sorgente
  • Backup di database senza crittografia

✅ Remediation

Imporre HTTPS ovunque con HSTS. Utilizzare AES-256, bcrypt/Argon2, SHA-256+. Mai hardcodare segreti — utilizzare Vault o AWS Secrets Manager. Crittografare i dati a riposo. Disabilitare TLS 1.0/1.1.

A03 Injection

La vulnerabilità web classica — ancora nella top 3 dopo due decenni.

Tipi di Injection

  • SQL Injection: ' OR 1=1 -- e attacchi molto più sofisticati
  • NoSQL Injection: Manipolazione JSON di MongoDB/CouchDB
  • Command Injection: Comandi OS attraverso input dell'applicazione
  • XSS: Iniezione JavaScript — reflected, stored, DOM-based
  • Template Injection (SSTI): Codice nei motori di template lato server
  • Header Injection: Manipolazione degli header HTTP

✅ Prevenzione

Query parametrizzate per tutte le interazioni con DB. Validazione input con allowlist. Encoding output per contesto. Header Content Security Policy. Account DB con privilegi minimi. Utilizzare ORM in modo coerente.

A04 Insecure Design

Nuova categoria — difetti a livello di design, non bug di implementazione.

⚠️ Esempi

  • Flusso di reset password che permette tentativi illimitati (nessun rate limiting)
  • Applicazione lato client di regole di business (validazione prezzo in JS)
  • Singola chiave API che concede accesso sia in lettura che scrittura a tutte le risorse

Soluzione: Integrare il threat modeling (STRIDE, PASTA) nella fase di design. Utilizzare pattern di design sicuri. Scrivere casi d'uso abusivi insieme ai casi d'uso.

A05 Security Misconfiguration

Trovata nel 90% delle applicazioni testate.

⚠️ Configurazioni Errate Comuni

  • Password admin di default su database e pannelli amministrativi
  • Directory listing, endpoint di debug, messaggi di errore verbosi abilitati
  • Header di sicurezza mancanti (CSP, X-Frame-Options, X-Content-Type-Options)
  • Bucket S3 o blob Azure accessibili pubblicamente
  • Metodi HTTP non necessari (PUT, DELETE, TRACE) abilitati

✅ Prevenzione

Processo di hardening ripetibile. Rimuovere tutte le funzionalità non necessarie. Implementare tutti gli header di sicurezza. Automatizzare la gestione config con IaC. Audit regolari delle configurazioni. Utilizzare CSPM per il cloud.

A06 Vulnerable and Outdated Components

528
Componenti Medi/App
84%
Codebase con Vuln Note
48%
Vulnerabilità Alto Rischio
252g
Tempo Medio Fix

⚠️ Esempi Notevoli

  • Log4Shell (CVE-2021-44228): RCE critico che colpisce milioni di app Java
  • Spring4Shell (CVE-2022-22965): RCE in Spring Framework
  • jQuery XSS: Molte app utilizzano ancora versioni vulnerabili di jQuery

Soluzione: Mantenere inventario componenti (SBOM). Monitorare continuamente database CVE. Rimuovere dipendenze inutilizzate. Automatizzare aggiornamenti con Dependabot/Renovate.

A07 Identification and Authentication Failures

⚠️ Fallimenti Comuni

  • Credential stuffing: Attacchi automatizzati usando password rubate
  • Politiche password deboli (permettendo "password123")
  • Session fixation e mancata invalidazione sessioni
  • Token di sessione esposti negli URL
  • MFA mancante per funzioni critiche

✅ Prevenzione

Implementare MFA. Imporre password forti con verifica database violazioni. Rate limiting su endpoint auth. Gestione sessioni sicura (ID casuali, flag HTTPOnly/Secure). Invalidare sessioni al logout/cambio password.

A08 Software and Data Integrity Failures

⚠️ Attacchi Reali

  • SolarWinds (2020): Codice malevolo in aggiornamento software legittimo — 18.000 org colpite
  • Deserializzazione insicura: Esecuzione codice arbitrario via dati non fidati
  • Compromissione pipeline CI/CD: Incidenti Codecov, ua-parser-js
  • SRI mancante: Caricamento JS da CDN senza hash di integrità

Soluzione: Firme digitali su tutti software/dati. Subresource Integrity (SRI) per risorse esterne. CI/CD sicuro con controlli accesso e firme. Evitare deserializzazione insicura — utilizzare JSON.

A09 Security Logging and Monitoring Failures

ℹ️ Il Costo della Cecità

Tempo medio per identificare una violazione: 204 giorni (IBM 2024). Senza logging adeguato, gli attaccanti possono stabilire persistenza, esfiltrate dati ed espandere la loro presenza — tutto senza attivare allarmi.

Soluzione: Registrare tutti gli eventi auth, fallimenti controllo accessi e fallimenti validazione input. Includere contesto (timestamp, utente, IP, azione). Centralizzare log in SIEM resistente alla manomissione. Implementare alerting automatizzato. Testare regolarmente capacità di rilevamento.

A10 Server-Side Request Forgery (SSRF)

Nuova categoria — aggiunta per crescente prevalenza in architetture cloud-native.

⚠️ Perché SSRF È Pericoloso

  • Violazione Capital One (2019): SSRF → metadata AWS → 100M+ record clienti esposti
  • Furto metadata cloud: Accesso a http://169.254.169.254/ per credenziali IAM
  • Accesso servizi interni: Raggiungere API, database, pannelli admin dietro il firewall

✅ Prevenzione

Validare tutti gli URL forniti dall'utente lato server. Utilizzare allowlist per domini permessi. Bloccare range IP privati (10.x, 172.16.x, 169.254.x, 127.x). Disabilitare schemi URL non necessari (file://, gopher://). Utilizzare IMDSv2 su AWS. Segmentare servizi di fetch URL.


Come KENSAI Scansiona l'OWASP Top 10

Categoria OWASPCopertura KENSAI
A01 Broken Access ControlTest IDOR, bypass autorizzazione, verifiche CORS
A02 Cryptographic FailuresAnalisi TLS, verifiche header, verifica crittografia
A03 InjectionSQL, XSS, command injection, SSTI, header injection
A04 Insecure DesignRate limiting, risorse predicibili, test logica
A05 Security MisconfigurationHeader, default, information disclosure, metodi HTTP
A06 Vulnerable ComponentsFingerprinting tecnologie, database 332K+ CVE
A07 Authentication FailuresCredenziali default, test sessioni, analisi cookie
A08 Integrity FailuresVerifiche SRI, test deserializzazione
A09 Logging FailuresAnalisi header sicurezza, revisione gestione errori
A10 SSRFIniezione endpoint interni, test metadata cloud
332K+
CVE Tracciati
10/10
Copertura OWASP
IA
Accuratezza Basata su
€990
Prezzo Iniziale/mese

Testi la Sua App Contro l'OWASP Top 10

Scansione gratuita — nessun impegno, nessuna carta di credito richiesta. DAST basato su IA con reporting pronto per la conformità.

Avvii una Scansione Gratuita →

FAQ

Qual è la vulnerabilità OWASP più comune?

Broken Access Control (A01) — trovata nel 94% delle applicazioni testate. È passata dalla posizione 5 alla posizione 1, riflettendo un fallimento diffuso nell'applicare l'autorizzazione, in particolare nelle API e nelle SPA.

La conformità all'OWASP Top 10 è obbligatoria?

L'OWASP Top 10 in sé è volontario. Tuttavia, è referenziato da PCI DSS (richiede di affrontare l'OWASP Top 10), NIS2 (prevede gestione sistematica delle vulnerabilità), DORA (riferimenti a test standard del settore) e molte valutazioni di fornitori. In pratica, è effettivamente obbligatorio.

Gli strumenti automatizzati possono rilevare tutti i rischi dell'OWASP Top 10?

Gli strumenti DAST automatizzati rilevano efficacemente la maggior parte delle categorie — specialmente injection (A03), cryptographic failures (A02), misconfiguration (A05) e vulnerable components (A06). Alcune categorie come Insecure Design (A04) e Logging Failures (A09) richiedono spesso valutazione manuale. Utilizzi scansione automatizzata per ampiezza + test manuale per profondità.

Con quale frequenza viene aggiornato l'OWASP Top 10?

Ogni 3–4 anni. Rilasci principali: 2013, 2017, 2021. Ogni aggiornamento riflette cambiamenti nel panorama delle minacce — l'aggiornamento del 2021 ha introdotto Insecure Design (A04) e SSRF (A10) riorganizzando gli altri.

La sicurezza non è opzionale.

🗡️ Il Team KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home