Sicurezza  »  Articoli  »  Nessuna selezione 

A9 – Denial of Service

Come tutti i servizi di rete, anche le applicazioni web, soffrono degli attacchi di tipo DoS. (Denial of Service) in cui, attraverso l’esaurimento delle risorse del sistema, si satura la sua capacità fino a determinarne il blocco temporaneo. In questa situazione i sistemi diventano inutilizzabili per gli utenti legittimamente attivi.

Una grossa quantità di richieste HTTP è un primo e semplice esempio di come poter saturare le risorse di un server web, bloccando l’accesso per tutti gli altri utenti. Pratiche di questo tipo sono sempre più frequenti durante i net strike e, purtroppo, come meccanismo d’estorsione verso siti che traggono profitto dalla pubblicità sul numero di visitatori.

Sebbene particolari configurazioni possono mitigare il problema, questa problematica è comunque impossibile da risolvere. Si può attenuare un attacco tramite potenziamenti dell’hardware, attraverso l’uso di load balancing e instaurando accordi con i fornitori del servizio internet ma non è possibile escludere il problema: l’aggressore potrebbe potenziarsi a sua volta oppure attaccare risorse diverse (ampiezza di banda, numero di connessioni al database, spazio su disco, utilizzo della CPU e della memoria e così via).

Come regola generale conviene limitare, a livello software, il massimo numero di risorse allocate per un singolo utente.

A10 – Insecure Configuration Management

Gli esperti di OWASP inseriscono in ultima posizione, all’interno della OWASP Top Ten, la classe di vulnerabilità ricollegabile all’errata configurazione dei web server e degli application server. Sebbene questi errori non sono strettamente legati alle applicazioni eseguite, una cattiva configurazione può mettere a repentaglio, in termini di sicurezza, l’intero lavoro dello sviluppatore.
Per completezza accenniamo comunque ai problemi più comuni:

• Software non aggiornati o bachi non ancora risolti all’interno dei servizi
• Presenza online di contenuti non necessari quali script di esempio, backup, file di configurazione, ecc
• Presenza di account noti con password di default
• Utilizzo improprio di permessi, privilegi
• Errata gestione degli errori e dei messaggi di errore (blocco dell’applicazione senza la gestione delle eccezioni e informazioni di debug visibili)

Da questo breve elenco risulta quindi evidente come sia indispensabile curare la messa in opera dell’ambiente di fruizione, per evitare di sprecare tutti gli sforzi fatti al fine di evitare le nove vulnerabilità precedenti evidenziate da OWASP. La sicurezza di un sistema è determinata dalla sicurezza dell’elemento più debole: trascurare anche un solo aspetto può determinare la perdita dei nostri dati o della nostra riservatezza.

Altri articoli

Altre guide

Altre newsletter