Redazione RHC : 12 Novembre 2025 07:18
L’OWASP aggiorna dopo 4 anni la sua lista delle TOP10 relativa ai rischi più pericolosi per le applicazioni web, aggiungendo due nuove categorie e rivedendo la struttura della classifica.
L’organizzazione ha pubblicato una bozza della versione 2025 che risulta aperta ai commenti fino al 20 novembre. Questo documento è una versione quasi definitiva della Top 10 di OWASP, che riflette le attuali minacce per sviluppatori e amministratori web.
Come nell’edizione precedente, il Broken Access Control è rimasto al primo posto. Questa categoria è stata ampliata per includere anche le vulnerabilità SSRF, che in precedenza si classificavano al decimo posto.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La Security Misconfiguration si classifica al secondo posto, in crescita rispetto al quinto della classifica del 2021. I problemi relativi alla supply-chain invece si classificano al terzo posto. Si tratta di una versione ampliata della categoria Componenti vulnerabili e obsoleti, che comprende problemi e compromissioni nell’ecosistema delle dipendenze, nei sistemi di build e nell’infrastruttura di distribuzione. Secondo OWASP, questi rischi erano tra le principali preoccupazioni della comunità professionale durante il sondaggio.
Seguono Cryptographic Failures, Injection (incluse XSS e SQL injection) e Insecure Design: tutte e tre le categorie hanno perso due posizioni, occupando rispettivamente il quarto, quinto e sesto posto. Authentication Failures, Software or Data Integrity Failures e Logging & Alerting Failures hanno mantenuto le posizioni precedenti, dal settimo al nono posto.
Una nuova categoria nella top ten è “Gestione errata di condizioni eccezionali”, che conclude l’elenco. Include errori nella gestione delle eccezioni, risposte errate alle anomalie, gestione impropria degli errori e guasti logici che si verificano in condizioni operative di sistema non standard.
Le 10 principali modifiche OWASP rispetto al 2021 (OWASP)
I rappresentanti dell’OWASP hanno sottolineato che la struttura dell’elenco del 2025 differisce da quella del 2021. L’analisi ora tiene conto del numero di applicazioni testate durante l’anno e del numero di sistemi in cui è stata rilevata almeno un’istanza di una specifica CWE (Common Weakness Enumeration).
Questo approccio consente di monitorare la prevalenza delle vulnerabilità nell’intera gamma di prodotti testati, indipendentemente dal numero di occorrenze dello stesso problema all’interno di una singola applicazione. Per l’analisi sono state utilizzate 589 CWE, rispetto alle sole 30 del 2017 e alle circa 400 del 2021.
Per valutare la sfruttabilità e l’impatto tecnico, OWASP ha utilizzato i dati CVE, raggruppandoli per CWE e calcolando i valori medi in base ai punteggi CVSS. A causa dei limiti dei test automatizzati, sono state selezionate solo otto categorie sulla base di questi dati. Le restanti due sono state ricavate da un sondaggio della comunità in cui gli esperti hanno identificato i rischi che consideravano più critici nella pratica.
La classifica OWASP Top 10 2025 riflette quindi uno spostamento dell’attenzione della comunità dai classici errori di implementazione ai problemi di configurazione, architettura e supply chain che portano sempre più spesso a compromessi nelle moderne applicazioni web.
RedazioneCentinaia di milioni di utenti di smartphone hanno dovuto affrontare il blocco dei siti web pornografici e l’obbligo di verifica dell’età. Nel Regno Unito è in vigore la verifica obbligatoria de...
Dalle fragilità del WEP ai progressi del WPA3, la sicurezza delle reti Wi-Fi ha compiuto un lungo percorso. Oggi, le reti autodifensive rappresentano la nuova frontiera: sistemi intelligenti capaci d...
Siamo ossessionati da firewall e crittografia. Investiamo miliardi in fortezze digitali, ma le statistiche sono inesorabili: la maggior parte degli attacchi cyber non inizia con un difetto nel codice,...
Un raro ritrovamento risalente ai primi giorni di Unix potrebbe riportare i ricercatori alle origini stesse del sistema operativo. Un nastro magnetico etichettato “UNIX Original From Bell Labs V4 (V...
Il 9 novembre ha segnato il 21° anniversario di Firefox 1.0. Nel 2004, è stata la prima versione stabile del nuovo browser di Mozilla, che si è subito posizionato come un’alternativa semplice e s...
