OWASP – SIPV17

Introduzione all’OWASP e alla Top 10

• Storia dell’OWASP
• Obiettivi e finalità della Top 10
• Importanza della sicurezza delle applicazioni web

A01:2021 – Broken Access Control

• Concetti fondamentali di controllo degli accessi
• Autenticazione Autorizzazione
• Tipologie di attacchi: elevazione dei privilegi, bypass dei controlli,
• Lab pratica: dimostrazione di attacchi a controllo accessi
• Misure preventive: least privilege, deny by default,

A02:2021 – Cryptographic Failures

• Principi di base della crittografia
• Vulnerabilità comuni: storage non protetto, algoritmi deprecati, chiavi deboli,
• Lab pratica: exploit su sistemi crittografici deboli
• Misure preventive: uso di standard moderni, rotazione delle chiavi,

A03:2021 – Injection

• Fondamenti degli attacchi di iniezione: SQL, OS, LDAP,
• XSS come sotto-categoria: stored, reflected, DOM-based
• Lab pratica: SQL injection e XSS
• Misure preventive: input validation, parameterized queries,

A04:2021 – Insecure Design

• Fondamenti del design sicuro
• Esempi di design insicuro e minacce associate
• Lab pratica: analisi di schemi di progetto insicuri
• Misure preventive: threat modeling, design patterns sicuri,

A05:2021 – Security Misconfiguration

• Esempi comuni: server esposti, funzionalità di default,
• Introduzione a XXE
• Lab pratica: exploit di misconfigurazioni
• Misure preventive: revisioni regolari, hardening,

A06:2021 – Vulnerable and Outdated Components

• Rischi associati a componenti obsoleti o vulnerabili
• Lab pratica: exploit su componenti obsoleti
• Misure preventive: gestione delle dipendenze, patch management,

A07:2021 – Identification and Authentication Failures

• Principi di autenticazione e identificazione
• Vulnerabilità comuni: password deboli, MFA bypass,
• Lab pratica: attacchi su meccanismi di autenticazione
• Misure preventive: MFA, policy di password,

A08:2021 – Software and Data Integrity Failures

• Importanza dell’integrità del software e dei dati
• Rischi associati alle pipeline CI/CD
• Lab pratica: attacchi sull’integrità del software
• Misure preventive: firma digitale, verifica dell’integrità, ecc.

A09:2021 – Security Logging and Monitoring Failures

• Principi di logging e monitoring
• Lab pratica: analisi dei log per identificare attacchi
• Misure preventive: configurazione di SIEM, alerting, ecc.

A10:2021 – Server-Side Request Forgery (SSRF)

• Fondamenti di SSRF
• Lab pratica: esempi di attacchi SSRF
• Misure preventive: limitare le uscite, utilizzare allow-lists, ecc.

Conclusioni e Best Practices

• Revisione e riflessione su quanto appreso
• Prossimi passi per approfondire la sicurezza delle applicazioni web
• Risorse aggiuntive e ulteriori letture

sviluppatori, tester di sicurezza e professionisti della sicurezza

Il discente ideale ha già maturato le seguenti competenze:

• Autonomia totale nell’utilizzo dei calcolatori elettronici basati sull’O.S. Windows
• Dimestichezza nell’utilizzo di Browser di ricerca (ad Chrome)
• Fondamenti di Algoritmi e Strutture dati
• Fondamenti di programmazione in almeno un linguaggio di programmazione (Preferibilmente C#, Java o Python)

• Autonomia nella progettazione e sviluppo di soluzioni IT sicure e scalabili
• Analisi della postura di CyberSecurity delle soluzioni esistenti con strumenti ad hoc
• Fondamenti di Penetration Testing & Software Testing
• Fondamenti di Code Analysis e tecniche per ottimizzare il TTM (Time to Market)
• Fondamenti di Networking e Sistemi