Per il suo report annuale sullo stato della sicurezza del software, State of Software Security, la società specializzata in application security Veracode esamina di consueto i tipi più comuni di falle e difetti di questo tipo riscontrati nelle applicazioni.
È importante esaminare i vari tipi di difetti relativi alla sicurezza presenti nelle applicazioni, sottolinea Veracode, in modo che i team di application security (AppSec) possano prendere decisioni su come affrontare e correggere questi errori.
Quali, ad esempio, i difetti di livello high-severity, come quelli elencati nella Top 10 di OWASP o in SANS 25, o i flaw molto diffusi che possono essere dannosi per un’applicazione.
L’injection, come ad esempio SQL, NoSQL, OS e LDAP injection, è il tipo di errore che si posiziona al primo posto nella Top 10 Web Application Security Risks di OWASP. E Veracode mette in evidenza che anche guardando la propria lista di falle di sicurezza comuni negli ultimi dieci anni, si può notare che i difetti di tipo injection sono sempre presenti nell’elenco.
Il rapporto di quest’anno di Veracode mostra che l’errore CRLF injection è stato trovato in più del 65% delle applicazioni che presentano flaw, e che l’SQL injection era anch’esso presente tra i primi dieci difetti più comuni. Dal momento che questi difetti sono di elevata gravità e presenti in un’ampia percentuale di applicazioni, i team di AppSec dovrebbero dare priorità alla correzione di queste falle.
Un attacco CRLF (Carriage Return Line Feed) Injection, spiega l’Open Web Application Security Project (OWASP), si verifica quando un utente riesce a inviare un CRLF in un’applicazione e avviene per lo più modificando un parametro HTTP o un URL.
Ma le vulnerabilità di tipo CRLF injection non sono gli unici difetti di sicurezza da tenere d’occhio, avverte Veracode. Come illustra il rapporto State of Software, anche l’information leakage e i problemi crittografici sono molto diffusi: ciascuno di questi si trova in quasi due applicazioni su tre di quelle con difetti.
E queste tre falle dovute a errori software – CRLF injection, perdita di informazioni e problemi di crittografia – sono rimasti i principali difetti di sicurezza, nello stesso ordine, per alcuni anni.
Infatti, mette in evidenza ancora Veracode, i dieci difetti di sicurezza più comuni sono rimasti abbastanza costanti negli ultimi dieci anni.
Fortunatamente esistono metodi collaudati per prevenire e correggere le più comuni vulnerabilità della sicurezza.
Ad esempio, è possibile prevenire i difetti di CRLF injection codificando correttamente l’output negli header HTTP o eseguendo il log delle voci che sono altrimenti visibili agli amministratori e agli utenti. E si possono prevenire gli errori di SQL injection implementando query parametrizzate.
Ma, considerato il fatto che gli stessi difetti continuano ad apparire anno dopo anno, conclude Veracode, è evidente che è necessaria una formazione per la sicurezza degli sviluppatori, che non possono correggere o prevenire i difetti se non hanno le competenze o gli strumenti necessari.
La pagina web Vulnerability Hall of Fame curata da Veracode offre ulteriori informazioni sui dieci principali errori di sicurezza, i linguaggi più colpiti e i modi per correggere i difetti.
