OWASP Top 10 2025

La OWASP Top 10 è da tempo riconosciuta come il punto di riferimento globale per comprendere e affrontare le sfide più critiche per la sicurezza delle applicazioni web. Aggiornata ogni paio d’anni, si adatta per evidenziare le ultime tendenze di attacco, i cambiamenti tecnologici e le intuizioni tratte dagli incidenti del mondo reale.

L’edizione 2025 segna uno degli aggiornamenti più significativi degli ultimi anni. Introducendo due nuove categorie e consolidando quelle esistenti, OWASP sposta l’attenzione sulle cause principali piuttosto che sui sintomi isolati, rendendo questa versione più in linea con il modo in cui le minacce odierne si manifestano.

Cosa c’è di nuovo nella OWASP Top 10 2025?

L’elenco aggiornato comprende ora dieci categorie raffinate:

  1. Controllo degli accessi non funzionante
    Quando gli utenti possono vedere o fare cose che non dovrebbero, spesso è una delle maggiori cause di violazione dei dati.
  2. Misconfigurazione della sicurezza
    Semplici errori di configurazione di server, servizi cloud o framework che lasciano aperte le porte agli aggressori.
  3. Fallimenti della catena di fornitura del software (nuovo)
    Rischi che derivano da strumenti, librerie e componenti di terze parti su cui si basa il tuo software, un bersaglio sempre più grande per gli aggressori.
  4. Fallimenti crittografici
    Problemi di protezione dei dati sensibili, tra cui la crittografia obsoleta o utilizzata in modo non corretto.
  5. Iniezione
    Situazioni in cui gli aggressori inseriscono codice o comandi dannosi in un’applicazione perché gli input non sono stati controllati correttamente
  6. Progettazione insicura
    Le lacune di sicurezza sono presenti fin dall’inizio, spesso perché la modellazione delle minacce o le pratiche di progettazione sicura sono state saltate.
  7. Fallimenti nell’autenticazione
    Processi di login deboli o controlli di identità errati che consentono agli aggressori di impersonare utenti reali.
  8. Fallimenti nell’integrità del software o dei dati
    Quando i sistemi si affidano a dati o fonti di aggiornamento sbagliati, dando agli aggressori la possibilità di interferire con i componenti chiave.
  9. Fallimenti nella registrazione e negli avvisi
    Il monitoraggio inefficace (o la mancanza di monitoraggio) fa sì che gli attacchi passino inosservati fino a quando il danno non è reale.
  10. Mishandling of Exceptional Conditions (nuovo)
    Quando le applicazioni non riescono a gestire bene le situazioni inaspettate, come timeout, sovraccarichi o input strani, si creano dei varchi per gli aggressori.

Guida pratica per sviluppatori, CISO e team di conformità

La Top 10 di OWASP è una guida pratica per gli sviluppatori, i CISO e i team di conformità per dare priorità ai rischi e rafforzare le difese. Con l’aggiunta della sicurezza della catena di approvvigionamento e della gestione degli errori, l’aggiornamento del 2025 evidenzia l’evoluzione del panorama delle minacce e la necessità di una resilienza proattiva.

Stiamo progettando una serie di contenuti e risorse per aiutare le organizzazioni a comprendere e affrontare ciascuno di questi rischi, che verranno distribuiti nel corso del nuovo anno finanziario. L’obiettivo di queste risorse è quello di fornire ai leader aziendali e ai loro team informazioni e formazione utili per affrontare i rischi in continua evoluzione.

Per rimanere aggiornati sulle ultime tendenze in materia di sicurezza, visita la nostra pagina delle risorse.

Domande frequenti sulla OWASP Top 10 2025

Che cos'è OWASP?

OWASP (Open Web Application Security Project) è un’organizzazione globale no-profit dedicata al miglioramento della sicurezza delle applicazioni web. Fornisce best practice, strumenti e risorse per aiutare le organizzazioni a identificare e mitigare i rischi di cybersicurezza.