Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 12 Novembre 2025 07:18
L’OWASP aggiorna dopo 4 anni la sua lista delle TOP10 relativa ai rischi più pericolosi per le applicazioni web, aggiungendo due nuove categorie e rivedendo la struttura della classifica.
L’organizzazione ha pubblicato una bozza della versione 2025 che risulta aperta ai commenti fino al 20 novembre. Questo documento è una versione quasi definitiva della Top 10 di OWASP, che riflette le attuali minacce per sviluppatori e amministratori web.
Come nell’edizione precedente, il Broken Access Control è rimasto al primo posto. Questa categoria è stata ampliata per includere anche le vulnerabilità SSRF, che in precedenza si classificavano al decimo posto.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La Security Misconfiguration si classifica al secondo posto, in crescita rispetto al quinto della classifica del 2021. I problemi relativi alla supply-chain invece si classificano al terzo posto. Si tratta di una versione ampliata della categoria Componenti vulnerabili e obsoleti, che comprende problemi e compromissioni nell’ecosistema delle dipendenze, nei sistemi di build e nell’infrastruttura di distribuzione. Secondo OWASP, questi rischi erano tra le principali preoccupazioni della comunità professionale durante il sondaggio.
Seguono Cryptographic Failures, Injection (incluse XSS e SQL injection) e Insecure Design: tutte e tre le categorie hanno perso due posizioni, occupando rispettivamente il quarto, quinto e sesto posto. Authentication Failures, Software or Data Integrity Failures e Logging & Alerting Failures hanno mantenuto le posizioni precedenti, dal settimo al nono posto.
Una nuova categoria nella top ten è “Gestione errata di condizioni eccezionali”, che conclude l’elenco. Include errori nella gestione delle eccezioni, risposte errate alle anomalie, gestione impropria degli errori e guasti logici che si verificano in condizioni operative di sistema non standard.
Le 10 principali modifiche OWASP rispetto al 2021 (OWASP)
I rappresentanti dell’OWASP hanno sottolineato che la struttura dell’elenco del 2025 differisce da quella del 2021. L’analisi ora tiene conto del numero di applicazioni testate durante l’anno e del numero di sistemi in cui è stata rilevata almeno un’istanza di una specifica CWE (Common Weakness Enumeration).
Questo approccio consente di monitorare la prevalenza delle vulnerabilità nell’intera gamma di prodotti testati, indipendentemente dal numero di occorrenze dello stesso problema all’interno di una singola applicazione. Per l’analisi sono state utilizzate 589 CWE, rispetto alle sole 30 del 2017 e alle circa 400 del 2021.
Per valutare la sfruttabilità e l’impatto tecnico, OWASP ha utilizzato i dati CVE, raggruppandoli per CWE e calcolando i valori medi in base ai punteggi CVSS. A causa dei limiti dei test automatizzati, sono state selezionate solo otto categorie sulla base di questi dati. Le restanti due sono state ricavate da un sondaggio della comunità in cui gli esperti hanno identificato i rischi che consideravano più critici nella pratica.
La classifica OWASP Top 10 2025 riflette quindi uno spostamento dell’attenzione della comunità dai classici errori di implementazione ai problemi di configurazione, architettura e supply chain che portano sempre più spesso a compromessi nelle moderne applicazioni web.
RedazioneNel panorama dei forum underground esistono attori che operano in modo episodico, alla ricerca di un singolo colpo mediatico, e altri che costruiscono nel tempo una pipeline quasi industriale di comp...
Nel contesto odierno, proteggere una rete richiede molto più che impostare una password complessa. Un attacco informatico contro una rete wireless segue un percorso strutturato che evolve dal monitor...
Il DPO, ma anche il consulente privacy, interagisce in modo significativo con il mondo dell’IT. Purtroppo non sempre lo fa in modo corretto, soprattutto perché alcuni falsi miti provocano quel rumo...
Il post 462 del canale ufficiale di Durov ha attivato subito la “modalità urlo”: “Fine dell’internet libero. L’internet libero sta diventando uno strumento di controllo”. Niente auguri pe...
Il mercato clandestino del cybercrime continua a evolversi rapidamente, alimentato da gruppi specializzati che progettano e vendono strumenti per truffe digitali sempre più sofisticate. Tra questi, u...
