Le 10 falle più diffuse sui servizi web secondo OWASP

Le 10 falle più diffuse sui servizi web secondo OWASP

La pagina web OWASP Top Ten è un documento standard per la sicurezza in ambito web: esso rappresenta un focus molto dettagliato sui principali problemi che possono derivare dall’utilizzo di applicazioni su internet, ed include documenti ufficiali da parte di esperti del settore.

Si tratta di uno standard ideale che OWASP invita tutte le aziende a seguire, per evitare problemi presenti e soprattutto in previsione, visto che ogni giorno i bollettini online sono invasi di segnalazioni di questo tipo. Nonostante la sicurezza non sia per forza vista come una priorità dalle aziende (anzi, la pratica in larga scala dimostra spesso l’esatto contrario), o comunque venga tirata in ballo quando i guai sono già presenti, il documento viene aggiornato periodicamente e contiene informazioni di carattere generico sulla sicurezza informatica. Sicurezza che, è bene ricordare, è un concetto che deve essere trasferito prima di tutto agli utenti e che possiede come prerequisito il fatto di implementare in modo robusto il software.

Molti attacchi, di fatto, possono ricadere in più di una categoria contemporaneamente, come successo per OpenCart 1.5.6.4 che era affetto da Code Injection, SQL Injection, Path Traversal e Application Denial of Service.

exploits_of_a_mom

  1. La prima categoria da prendere in considerazione è la Injection: si tratta di un attacco text-based, ovvero basato sull’impartire impopriamente comandi e fare in modo di eseguire operazioni pericolose come quelle di cancellazione o modifica di dati sensibili. Il modo migliore per capire se un’app di qualsiasi genere sia vulnerabile alla injection è quello di controllare che siano attivi degli opportuni filtri sui dati, e nel caso di SQL utilizzare prepared statement e stored procedure evitando query dinamiche.
  2. La Broken Authentication si basa su un furto di informazioni dall’esterno sfruttando tipicamente account rubati (come il leak di Gmail di qualche tempo fa), cookie o session ID allo scopo di impersonificare altri utenti; in quest’ottica gli utenti più a rischio sono quelli che possiedono privilegi elevati, quindi gli utenti amministratori o super-amministratori, che diventano inconsapevoli vettori di attacco per minare la sicurezza e l’integrità dei dati.
  3. Il Cross Site Scripting (XSS) è il terzo elemento da considerare nella sicurezza di un sito web, e casi molti recenti di attacchi del genere hanno riguardato alcune versioni di WordPress, ad esempio, ma anche siti grossi come Linkedin. Si tratta di un attacco che mira a sfruttare i mancati controlli all’interno del codice dei siti (e più in genere delle app che sfruttano internet), in modo da poter eseguire operazioni per cui non si avrebbero di norma i privilegi, e cancellare o manomettere i dati. Si tratta anche qui di attacchi text-based, ovvero piuttosto banali da replicare e che non richiedono, il più delle volte, neanche un software specifico per poter essere eseguiti.
  4. Una quarta categoria da considerare sono i cosiddetti Insecure Direct Object References, cioè riferimenti ad oggetti utilizzati dal software che vengano sfruttati per eseguire operazioni illecite. Un uso errato delle sessioni, ad esempio, potrebbe portare in sè problemi del genere.
  5. La Security Misconfiguration è un ulteriore problema che si trova ad affrontare qualsiasi esperto o consulente di sicurezza informatica: in essa, un attaccante riesce ad acquisire informazioni riservate mediante account di prova lasciati incustoditi, pagine non utilizzate (e magari indicizzate da Google), file o directory non protette adeguatamente e simili. Per estensione, qualsiasi attacco di ingegneria sociale – ovvero mirato ad acquisire conoscenze ingannando la vittima ed ispirandole fiducia – sono da far rientrare idealmente in questa categoria.
  6. La Sensitive Data Exposure rientra poi in una categoria ulteriore, ovvero tutti i casi in cui avvengano furti di dati personali: quindi non tanto password quanto chiavi private, che permettano ad un attaccante di impadronirsi di account o credenziali non proprie. Ricadono in questa categoria gli attacchi di tipo man-in-the-middle.
  7. Altro caso decisamente comune avviene qualora si registri una manipolazione dell’URL da parte di un utente non autorizzato, e tale operazione in generale va sotto il nome di Missing Function Level Access Control: è bene chiedersi, in questi caso, se mediante un URL pubblico sia possibile accedere direttamente a funzioni private.
  8. Gli attacchi di ottavo tipo sono i cosiddetti CSRF (Cross-Site Request Forgery), per i quali esiste anche un software di test open source (owaspcsrftester): un caso recente è stato quello della stampante Canon su cui funzionava Doom, ovvero un dispositivo di rete, oppure un servizio web, non dispone degli opportuni controlli per cui diventa possibile far girare qualsiasi software unsigned su di esso.
  9. Molti siti wordpress sono vittima di attacchi Using Components with Known Vulnerabilities, ovvero: l’attaccante fa una scansione del sito, rileva un plugin fallato e lo sfrutta a proprio vantaggio. Plausibilmente quasi tutte le falle di WP relative a plugin instabili o mal programmati ricadono in questa categoria, tra cui Slider Revolution Plugin e MailPoet. Anche l’uso attuale di versioni di WP non aggiornate può farci ricadere in rischi assimilabili a questa categoria.
  10. Ultimo tipo di attacco da considerare è chiamato Unvalidated Redirects and Forwards, cioè si verifica in caso di redirect illeciti, inattesi o obsoleti; molto comune sui siti di spam e su quelli che diffondono malware e virus, sfrutta la possibilità di manipolare URL dall’esterno al fine di redirezionare l’utente su un sito-trappola oppure di phishing.
Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.