L’OWASP aggiorna dopo 4 anni la sua lista delle TOP10 relativa ai rischi più pericolosi per le applicazioni web, aggiungendo due nuove categorie e rivedendo la struttura della classifica.

L’organizzazione ha pubblicato una bozza della versione 2025 che risulta aperta ai commenti fino al 20 novembre. Questo documento è una versione quasi definitiva della Top 10 di OWASP, che riflette le attuali minacce per sviluppatori e amministratori web.

Come nell’edizione precedente, il Broken Access Control è rimasto al primo posto. Questa categoria è stata ampliata per includere anche levulnerabilità SSRF, che in precedenza si classificavano al decimo posto.

La Security Misconfiguration si classifica al secondo posto, in crescita rispetto al quinto della classifica del 2021. I problemi relativi alla supply-chain invece si classificano al terzo posto. Si tratta di una versione ampliata della categoria Componenti vulnerabili e obsoleti, che comprende problemi e compromissioni nell’ecosistema delle dipendenze, nei sistemi di build e nell’infrastruttura di distribuzione. Secondo OWASP, questi rischi erano tra le principali preoccupazioni della comunità professionale durante il sondaggio.

Seguono Cryptographic Failures, Injection (incluse XSS e SQL injection) e Insecure Design: tutte e tre le categorie hanno perso due posizioni, occupando rispettivamente il quarto, quinto e sesto posto. Authentication Failures, Software or Data Integrity Failures e Logging & Alerting Failures hanno mantenuto le posizioni precedenti, dal settimo al nono posto.

Una nuova categoria nella top ten è “Gestione errata di condizioni eccezionali”, che conclude l’elenco. Include errori nella gestione delle eccezioni, risposte errate alle anomalie, gestione impropria degli errori e guasti logici che si verificano in condizioni operative di sistema non standard.

Le 10 principali modifiche OWASP rispetto al 2021 (OWASP)

I rappresentanti dell’OWASP hanno sottolineato che la struttura dell’elenco del 2025 differisce da quella del 2021. L’analisi ora tiene conto del numero di applicazioni testate durante l’anno e del numero di sistemi in cui è stata rilevata almeno un’istanza di una specifica CWE (Common Weakness Enumeration).

Questo approccio consente di monitorare la prevalenza delle vulnerabilità nell’intera gamma di prodotti testati, indipendentemente dal numero di occorrenze dello stesso problema all’interno di una singola applicazione. Per l’analisi sono state utilizzate 589 CWE, rispetto alle sole 30 del 2017 e alle circa 400 del 2021.

Per valutare la sfruttabilità e l’impatto tecnico, OWASP ha utilizzato i dati CVE, raggruppandoli per CWE e calcolando i valori medi in base ai punteggi CVSS. A causa dei limiti dei test automatizzati, sono state selezionate solo otto categorie sulla base di questi dati. Le restanti due sono state ricavate da un sondaggio della comunità in cui gli esperti hanno identificato i rischi che consideravano più critici nella pratica.

La classifica OWASP Top 10 2025 riflette quindi uno spostamento dell’attenzione della comunità dai classici errori di implementazione ai problemi di configurazione, architettura e supply chain che portano sempre più spesso a compromessi nelle moderne applicazioni web.

L'articolo OWASP Top 10 2025: le nuove minacce per le applicazioni web, Supply chain tra le prime tre proviene da Red Hot Cyber.

Fatto spiacevole: quello dei dati personali è un mercato molto appetibile e di particolare valore per i cybercriminali, per motivi tutt’altro che difficili da immaginare. Non parliamo solo di scam o furti d’identità, ma di un complesso di attività illecite che possono trovare impiego nei modi più disparati. Questo riguarda sia i dati esposti online sia quelli reperiti all’interno dei marketplace del dark web, con il comune intento di realizzare dei guadagni diretti o indiretti.

Appreso che un utilizzo indesiderato dei nostri dati personali esiste ed è anzi una buona fetta di mercato per i cybercriminali, a questo punto, potremmo ritenere che tutta la normativa sulla privacy sia totalmente inutile. Insomma: se un cybercriminale vuole commettere una serie di attività illecite, certamente l’essersi procurato i nostri dati personali violando le regole probabilmente non è neanche degno di essere contrassegnato come “ultimo dei suoi problemi”. Ma bisogna ragionare sul perché i nostri dati personali diventano tanto facilmente reperibili, scoprendo così attraverso pochissimi passaggi logici che una maggiore attenzione da parte di chi svolge operazioni sugli stessi a riguardo ne ridurrebbe la disponibilità.

Per quanto non sia possibile avere uno scenario in cui il rischio di vedere i nostri dati personali impiegati in attività illecite viene azzerato, può essere desiderabile quanto meno uno in cui il saccheggio degli stessi sia particolarmente difficoltoso e il bottino meno remunerativo. Insomma: è chiaro che nel momento in cui i costi superano le opportunità, solitamente un cybercriminale desiste. A meno che non sia particolarmente motivato, ovviamente.

Questo però richiede una premessa. Ogni soggetto che raccoglie e impiega i dati personali è chiamato a garantire la protezione dei dati personali per tutta la filiera in cui sono svolte operazioni sugli stessi, andando così ad attenzionare proprio quegli aspetti rilevanti individuati dalla norma. Ovverosia: verificare che i dati siano lecitamente acquisiti, ne siano definite le finalità e vengano raccolti e conservati solo i dati necessari a perseguire le stesse.

Ovviamente, tenendo conto che ogni operazione deve essere svolta in sicurezza.

Non c’è privacy senza sicurezza.

L’aspetto che emerge è indubbiamente quello della sicurezza, per logica e rilevanza. Questo è richiamato non solo dalla norma, ma si pone come premessa: il trattamento in sicurezza dei dati personali garantisce una mitigazione per i rischi che incombono sull’interessato. Senza sicurezza, non può infatti parlarsi di protezione adeguata.

Un generale e più elevato livello di sicurezza contrasta il mercato del cybercrimine, ma questo richiede un effort condiviso da più attori ovverosia tutti i soggetti che svolgono operazioni sui dati. L’orientamento è fornito dalla normativa che obbliga a ragionare su quali dati raccogliere, perché e soprattutto per quanto tempo. Motivare ogni passaggio comporta una maggiore attenzione, e una maggiore attenzione consente di superare tutta una serie di criticità collegate a inconsapevolezza, incuria e disattenzione.

Ecco dunque che il rispetto della privacy – intesa nella sua accezione di protezione dei dati personali – è la premessa affinché i dati siano trattati in modo sicuro. O meglio: più sicuro rispetto allo scenario alternativo in cui non ci sono i presidi imposti dalla norma.

Il fattore culturale.

Un approccio culturale che tiene conto dei rischi per gli interessati richiede che i soggetti che decidono sulle sorti dei dati personali sono responsabilizzati ma anche una maggiore attenzione diffusa al tema. Questo comporta che le garanzie di protezione dei dati personali sono criteri di selezione. Certo, parliamo di garanzie percepite e dunque può essere possibile una strategia di privacywashing, ma un utente o consumatore esprime una domanda di servizi più attenti al rispetto della norma e quindi maggiormente sicuri.

Questo, di fatto, aumenta il costo per il cybercrime in questo ambito.

Meno dati facilmente disponibili comporta infatti costi maggiori.

It’s the market, baby.

L'articolo Non è il dark web a vendere i tuoi dati. Sei tu che li metti in saldo ogni giorno! proviene da Red Hot Cyber.

[Juan] describes himself as a software engineer, a lover of absurd humor, and, among other things, a player of Nethack. We think he should add computer game archaeologist to that list. In the 1990s, he played a game that had first appeared on USENET in 1987. Initially called “Middle-earth multiplayer game,” it was soon rebranded with the catchier moniker, Conquer.

It may not seem like a big thing today, but writing multiplayer software and distributing it widely was pretty rare stuff in the late 1980s or early 1990s. In 2006, [Juan] realized that this game, an intellectual predecessor to so many later games, was in danger of being lost forever. The source code was scattered around different archives, and it wasn’t clear what rights anyone had to the source code.

[Juan] set out to find the original authors [Edward Barlow] and [Adam Bryant]. Of course, their e-mail addresses from USENET were long dead. With persistence, he finally found [Barlow] in 2006. He was amenable to [Juan] porting the code over, but didn’t know how to contact [Bryant].

[Juan] continued to leave posts and follow up leads. He did eventually find [Bryant], who read one of the posts about the project and offered his permission to GPL the code. This was in 2011, nearly five years after the release from [Barlow]. He also discovered there was a third author who was also game. Unfortunately, [Richard Caley] had already passed away, so there was no way to obtain his release.

You can compare the original version with the new updated version from [Juan]. A software accomplishment worthy of Indiana Jones.

We love digging through old code. Especially for software that was especially influential.

hackaday.com/2025/11/11/resurr…