Redazione RHC : 9 Settembre 2021 08:28
La TOP10 Owasp web application si rinnova.
Si tratta della lista delle 10 vulnerabilità più comuni che era rimasta ferma al 2017. Owasp infatti, ha rilasciato le sue ultime analisi introducendo tre nuove categorie e quattro categorie con modifiche di denominazione e ambito.
Dai potere alla tua programmazione con TypeScript funzionaleImpara a scrivere codice modulare, sicuro e scalabile con il nostro corso pratico di Programmazione Funzionale in TypeScript, guidato dall’esperto Pietro Grandi, professionista nello sviluppo del software. In 6 ore e 29 lezioni, esplorerai concetti fondamentali come immutabilità, funzioni pure, higher-order functions e monadi, applicandoli direttamente al mondo reale dello sviluppo software. Il corso è pensato per sviluppatori, team leader e professionisti del software che desiderano migliorare la qualità e la manutenibilità del loro codice. Con esempi pratici, esercizi e la guida esperta di Grandi, acquisirai competenze avanzate per affrontare le sfide moderne dello sviluppo. Approfitta della promo e scrivi subito all'amministrazione e guarda l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] ![]() Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Nel 2017, sono state selezionate le categorie in base al tasso di incidenza per determinare la probabilità di accadimento, quindi sono state classificate in base alla discussione di gruppo in base a decenni di esperienza relativamente allo sfruttamento, rilevabilità (anche probabilità) e Impatto tecnico. Per il 2021, si è voluto cambiare metrica analizzando l’exploitability e gli impatti.
Gli sforzi precedenti si sono concentrati su un sottoinsieme di circa 30 CWE, ma è stato appreso che le organizzazioni si concentrano principalmente solo su queste 30 e non sulle restanti. In questo nuovo lavoro, Owasp ha chiesto i dati, senza restrizioni sui CWE e da li sono partite le analisi.
Sono state analizzate quindi le applicazioni testate per un determinato anno (a partire dal 2017) e il numero di applicazioni con almeno un’istanza di CWE rilevata durante i test. Questo metodo ha consentito di tenere traccia della prevalenza di ogni CWE all’interno della popolazione delle applicazioni.
Facendo questa analisi si è passati dalle 30 CWE a quasi 400 CWE da analizzare nel set di dati. Ancora queste informazioni non sono stabili in quanto Owasp riporta che è “in programma di eseguire ulteriori analisi dei dati come supplemento futuro”, ma sicuramente possiamo iniziare a comprendere che il panorama è fortemente cambiato, anche considerando che alcune (come ad esempio la prima, ovvero la “Broken Access Control”), risulta molto difficile da rilevare in campo se non con dei test manuali (ethical hacking).
Questo aumento significativo del numero di CWE richiede modifiche al modo in cui le categorie sono strutturate. Infatti Owasp ha trascorso diversi mesi a raggruppare e classificare i CWE. Ad esempio ora le “Sql injection” e i “cross site scripting” (XSS) sono stati raggruppati giustamente, in quanto entrambe le categorie risultano derivate da una mancata depurazione degli input.
Ci sono alcuni cambiamenti critici che abbiamo adottato per continuare a maturare la Top 10.
La notizia è semplice, la tecnologia no. Chat Control (CSAR) nasce per scovare CSAM e dinamiche di grooming dentro le piattaforme di messaggistica. La versione “modernizzata” rinuncia alla backdo...
A cura di Luca Stivali e Olivia Terragni. L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Fir...
Una violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
Negli ultimi anni le truffe online hanno assunto forme sempre più sofisticate, sfruttando non solo tecniche di ingegneria sociale, ma anche la fiducia che milioni di persone ripongono in figure relig...
Microsoft ha ricordato agli utenti che tra un mese terminerà il supporto per l’amato Windows 10. Dal 14 ottobre 2025, il sistema non riceverà più aggiornamenti di sicurezza , correzioni di bug e ...