Open Web Application Security Project (OWASP) ha rilasciato la TOP 10 per il 2010 ovvero le 10 vulnerabilità più critiche delle applicazioni web.

La lista, rilasciata in licenza Creative Commons Attribution ShareAlike 3.0 e scaricabile da sito owasptop10, si prefigge lo scopo di sensibilizzare amministratori, sviluppatori, architetti, manager ed organizzazioni sull’importanza delle conseguenze di uno sviluppo non accorto delle applicazioni web. La top 10 vuole essere una sintesi, uno spunto di riflessione nella speranza che possa portare consapevolmente verso lo sviluppo sicuro del codice.

Ecco la lista 2010 in sintesi:

• A1 – Injection
• A2 – Cross-site Scripting (XSS)
• A3 – Broken authentication and session management
• A4 – Insicure direct object references
• A5 – Cross-site request forgery (CSRF)
• A6 – Security misconfiguration (new)
• A7 – Insecure cryptographic storage
• A8 – Failure to restrict URL access
• A9 – Insufficient transport layer protection
• A10 – Unvalidated redirects and forwards (new)

Significativa la tabella comparativa con la precedente lista:

Nel documento trovate delle schede di dettaglio per ciascuna vulnerabilità. Inoltre, a ciascuna di esse è stato associato un fattore di rischio basato su statistiche ed esperienze OWASP.

Questa di seguito è la mappatura che ne deriva:

Quanto espresso sopra va calato nel proprio contesto aziendale e nel più ampio processo di gestione del rischio.

Molte PA stanno inserendo nei vari capitolati di gara l’obbligo del rispetto della top 10 di owasp come baseline minima.

Vi segnalo inoltre il chapter italiano di OWASP.