Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Hadrian, è un framework open-source progettato per individuare vulnerabilità API legate alla sicurezza API, in particolare bug logici come BOLA e BFLA che sfuggono agli scanner tradizionali. Utilizzando un approccio di mutation testing, verifica concretamente i bypass di autorizzazione simulando attacchi reali. Il tool si integra nelle pipeline CI/CD e ha dimostrato di rilevare falle critiche in pochi secondi. Il tema è rilevante perché le API rappresentano oggi uno dei principali vettori di attacco nelle architetture moderne.
Le API (acronimo di Application Programming Interface), sono ovunque. Non sono più semplici connettori, ma sono il vero sistema nervoso delle aziende di oggi. Questa interconnessione, ha creato nel tempo nuovi perimetri di attacco, spesso fragili e poco presidiati.
Mentre le difese perimetrali si sono evolute, alcune di queste interfacce (che permettono lo scambio di dati tra applicazioni) sono rimaste esposte ai bug logici, dove i comuni scanner faticano a intercettare, aprendo in questo modo dei varchi potenzialmente catastrofici per la privacy dei dati.
Il problema della “sicurezza applicativa”, risiede in una “asimmetria metodologica”. La maggior parte degli strumenti che conosciamo di scansione automatici si sta concentra su errori di configurazione o tentativi di bypass e di injection.
Eppure, le OWASP ci parlano chiaro: le vere minacce, quelle più insidiose, risiedono nella logica di autorizzazione. È in questo che si inserisce Hadrian, un nuovo framework open-source, il quale è stato progettato non per cercare bug superficiali, ma per analizzare a fondo i privilegi di accesso, andando a colmare quel gap dove gli strumenti di scansione tradizionali smettono di vedere.
Le sigle BOLA (Broken Object-Level Authorization) e BFLA (Broken Function-Level Authorization) rappresentano il “nemico pubblico numero uno” per gli sviluppatori di API.
Si tratta di falle di sicurezza che permettono a un utente malintenzionato di accedere alle risorse altrui o eseguire delle funzioni amministrative manipolando un identificativo nella richiesta.
Hadrian affronta questi bug di sicurezza attraverso un approccio role-based, mettendo alla prova tutti gli endpoint contro una matrice di ruoli (admin, utente, guest) definiti e testati per consentire di scovare ogni possibile bypass.
| Feature | Description |
|---|---|
| OWASP API Top 10 Coverage | 30 built-in templates covering BOLA, broken auth, BFLA, data exposure, and misconfigurations |
| Role-Based Authorization Testing | Define roles with permission levels and test cross-role access automatically |
| Mutation Testing | Three-phase setup → attack → verify pattern proves write/delete vulnerabilities actually occurred |
| REST + GraphQL + gRPC | Test any API protocol with protocol-specific security checks |
| Template-Driven | YAML templates for customizable security tests — no code required |
| Multiple Output Formats | Terminal, JSON, and Markdown reports for CI/CD integration |
| Adaptive Rate Limiting | Proactive request throttling with reactive backoff on 429/503 responses |
| Proxy Support | Route traffic through Burp Suite or other intercepting proxies |
| LLM-Powered Triage | Optional AI analysis of findings via Ollama to reduce false positives |
| Claude Code Integration | Auto-generate auth and role configs from OpenAPI, GraphQL SDL, or proto files |
Quello che distingue Hadrian dagli altri scanner è l’innovativo processo di mutation testing, suddiviso in tre fasi. Molti tool si accontentano di ricevere un codice “200 OK” per dichiarare che un test è stato superato, ma un successo “tecnico” potrebbe celare un “fallimento logico”.
Il framework segue un protocollo molto rigoroso: crea una risorsa (che si chiama Setup), tenta di manometterla con un account non autorizzato (che si chiama Attack) e infine verifica se l’azione è andata a buon fine (attraverso un costrutto chiamato Verify). Questo metodo, trasforma il test di sicurezza, da una semplice verifica HTTP a una prova empirica dell’esistenza di una falla.
Dalle classiche architetture REST alla flessibilità di GraphQL, fino alle alte prestazioni di gRPC per i microservizi, il tool Hadrian garantisce una copertura unica e trasversale. Con oltre 30 template YAML pronti all’uso, il nuovo framework promette di automatizzare le verifiche complesse senza alcuna necessità di scrivere del codice custom. Questo rende la sicurezza una pratica che diventa accessibile e scalabile, anche per quei team di sviluppo snelli, che possono ora concentrarsi sulla business logic.
Durante i test condotti sulle OWASP crAPI (un’applicazione vulnerabile che simula un sistema di gestione veicoli), Hadrian è stato in grado di identificare tre bug di sicurezza critici in meno di 60 secondi. Non si è trattato di un esercizio teorico, ma è stata una dimostrazione di come l’automazione intelligente possa superare in velocità ed efficacia i processi di analisi delle vulnerabilità manuali, che sono spesso lenti e costosi e soggetti a errori umani.
Hadrian si integra anche n modo nativo nelle pipeline CI/CD, fornendo report in formato JSON e Markdown, i quali permettono di bloccare in modo automatico il rilascio di versioni che sono vulnerabili. Grazie a funzioni avanzate, come il rate limiting, il tool si adatta anche ai ritmi frenetici di rilascio continuo, senza compromettere la stabilità degli ambienti di test.
Purtroppo, gli analisti sanno bene del mondo che si cela dietro i “falsi positivi”. Hadrian introduce anche un supporto all’analisi attraverso i modelli linguistici (LLM) come Llama o Claude.
Questa integrazione permette di automatizzare il triage dei risultati, aiutando gli esperti a distinguere tra una vera minaccia informatica e un comportamento innocuo. Tuttavia, resta fermo un tema che oggi è all’attenzione massima: l’AI è un potenziatore, ma la strategia di fondo deve rimanere saldamente ancorata a una logica di test rigorosa e a una cultura della sicurezza che non accetta compromessi.
