L’Open Web Application Security Project (OWASP) ha rilasciato l’ottava edizione della sua influente lista Top 10, delineando i rischi più critici per la sicurezza delle applicazioni web per il 2025. Questo documento, riconosciuto a livello globale, funge da guida essenziale per sviluppatori, professionisti della sicurezza e organizzazioni, orientando gli sforzi verso la mitigazione delle minacce più perniciose nel panorama digitale in continua evoluzione. L’edizione 2025 introduce cambiamenti significativi, tra cui due nuove categorie e un notevole rimescolamento delle posizioni, riflettendo la crescente complessità delle architetture software moderne e le nuove tattiche degli avversari.
Metodologia e Filosofia: Oltre i Dati Grezzi
L’OWASP Top 10 2025 continua a basarsi su un approccio “informato dai dati, ma non ciecamente guidato dai dati”. Questa filosofia riconosce i limiti intrinseci dell’analisi dei dati storici. I dati sulle vulnerabilità, per loro natura, rappresentano il passato: le falle che abbiamo già imparato a trovare e testare su larga scala. Per anticipare le minacce emergenti, che potrebbero non essere ancora ben rappresentate nei dataset, OWASP integra l’analisi quantitativa con un sondaggio qualitativo della community.
Il processo di selezione ha classificato 12 potenziali categorie basate sui dati raccolti e ha permesso alla community di promuoverne due. Questo approccio ibrido assicura che la lista non solo rifletta le vulnerabilità prevalenti, ma anche le preoccupazioni percepite dai professionisti che operano in prima linea.
Per questa edizione, l’analisi si è ampliata per includere 589 Common Weakness Enumerations (CWE), un aumento sostanziale rispetto ai quasi 400 del 2021. I dati sono stati raccolti chiedendo alle organizzazioni il numero di applicazioni testate e quante di queste presentavano almeno un’istanza di una specifica CWE, concentrandosi sulla prevalenza piuttosto che sulla frequenza. La valutazione del rischio per ciascuna categoria ha inoltre sfruttato i dati di circa 175.000 record di Common Vulnerabilities and Exposures (CVE) dalla National Vulnerability Database (NVD), utilizzando i punteggi CVSS (Common Vulnerability Scoring System) v2 e v3 per calcolare l’exploitability e l’impatto tecnico medi.
La Struttura delle Categorie: Radici vs Sintomi
Una decisione metodologica chiave è stata quella di concentrarsi sulla causa principale (root cause) di una vulnerabilità piuttosto che sul suo sintomo. Ad esempio, invece di una categoria generica come “Esposizione di Dati Sensibili” (un sintomo), la lista si concentra su categorie come “Fallimenti Crittografici” (una causa). Questo approccio fornisce una guida più chiara per la correzione e la prevenzione. Le 10 categorie del 2025 raggruppano un totale di 248 CWE, offrendo una visione strutturata che facilita la formazione e l’adozione da parte delle aziende.
Analisi Dettagliata dell’OWASP Top 10 2025
Ecco un’analisi approfondita di ciascuna categoria, evidenziando le novità e le implicazioni.
A01:2025 - Broken Access Control
Posizione: #1 (Stabile)
Per la seconda volta consecutiva, il Controllo degli Accessi Interrotto si conferma il rischio più critico per la sicurezza delle applicazioni. I dati indicano che il 3,73% delle applicazioni testate presentava almeno una delle 40 CWE associate a questa categoria. Questa vulnerabilità si verifica quando le restrizioni su ciò che gli utenti sono autorizzati a fare non vengono applicate correttamente, consentendo loro di accedere a dati o eseguire funzioni al di fuori dei loro permessi. Esempi comuni includono la manipolazione di URL, l’accesso a pagine per amministratori senza privilegi adeguati o la violazione del principio del privilegio minimo. In questa edizione, la categoria ha assorbito la precedente A10:2021 - Server-Side Request Forgery (SSRF), riconoscendo che molti attacchi SSRF sono fondamentalmente un problema di controllo degli accessi.
A02:2025 - Security Misconfiguration
Posizione: #2 (Salita dalla #5)
Questa categoria ha compiuto un balzo significativo, evidenziando come le moderne architetture software, sempre più basate su configurazioni, introducano nuovi rischi. Circa il 3,00% delle applicazioni testate presentava errori di configurazione. Questo include credenziali di default, porte aperte, messaggi di errore troppo dettagliati e una configurazione errata dei servizi cloud. La crescente complessità di framework, container e servizi cloud rende la configurazione sicura una sfida costante.
A03:2025 - Software Supply Chain Failures
Posizione: #3 (Nuova Categoria)
Questa è una delle novità più importanti e riflette una crescente preoccupazione nel settore. Sostituisce ed espande la precedente categoria “Componenti Vulnerabili e Obsoleti”, includendo una gamma più ampia di rischi che si estendono all’intero ecosistema software: dipendenze di terze parti, sistemi di build, pipeline CI/CD e infrastrutture di distribuzione. Sebbene i dati quantitativi su questa categoria siano ancora limitati (a causa della difficoltà nel testarla sistematicamente), il sondaggio della community l’ha votata come una delle principali preoccupazioni. Incidenti recenti hanno dimostrato come una singola dipendenza compromessa possa avere un impatto a cascata su migliaia di applicazioni.
A04:2025 - Cryptographic Failures
Posizione: #4 (Discesa dalla #2)
Precedentemente nota come “Esposizione di Dati Sensibili”, questa categoria si concentra ora più specificamente sui fallimenti legati alla crittografia, come l’uso di algoritmi deboli, una gestione inadeguata delle chiavi o la mancanza di crittografia per i dati in transito e a riposo. Sebbene sia scesa di due posizioni, rimane un rischio fondamentale, poiché può portare direttamente alla compromissione di dati sensibili. Il 3,80% delle applicazioni ha mostrato debolezze in quest’area.
A05:2025 - Injection
Posizione: #5 (Discesa dalla #3)
Un classico intramontabile, l’Injection continua a essere una minaccia pervasiva. Questa categoria include una vasta gamma di vulnerabilità, come SQL Injection, Cross-Site Scripting (XSS) e Command Injection, che si verificano quando dati non attendibili vengono inviati a un interprete come parte di un comando o di una query. Nonostante la maggiore adozione di framework che offrono protezioni native, gli errori di implementazione mantengono questo rischio rilevante.
A06:2025 - Insecure Design
Posizione: #6 (Discesa dalla #4)
Introdotta nel 2021, questa categoria evidenzia l’importanza di integrare la sicurezza fin dalle prime fasi del ciclo di vita dello sviluppo del software (un approccio “shift-left”). Riguarda i difetti a livello di architettura e progettazione, come la mancanza di threat modeling. Il leggero calo nel ranking potrebbe indicare una maggiore consapevolezza e adozione di pratiche di progettazione sicura nel settore.
A07:2025 - Authentication Failures
Posizione: #7 (Stabile)
Con un nome leggermente modificato rispetto a “Identification and Authentication Failures”, questa categoria rimane una colonna portante dei rischi per la sicurezza. Include debolezze come password deboli, mancanza di autenticazione a più fattori (MFA) e una gestione impropria delle sessioni. L’uso crescente di framework di autenticazione standardizzati sembra contribuire a contenere la prevalenza di questi fallimenti.
A08:2025 - Software or Data Integrity Failures
Posizione: #8 (Stabile)
Questa categoria si concentra sulla mancata verifica dell’integrità del software, del codice e dei dati, ad un livello più basso rispetto ai fallimenti della supply chain. Include problemi come la deserializzazione insicura e la mancata verifica delle firme digitali degli aggiornamenti software, che possono consentire l’esecuzione di codice dannoso.
A09:2025 - Logging & Alerting Failures
Posizione: #9 (Stabile)
Precedentemente “Security Logging and Monitoring Failures”, il cambio di nome sottolinea un punto cruciale: registrare gli eventi di sicurezza è inutile senza un sistema di allerta efficace che possa innescare una risposta tempestiva. Questa categoria è spesso sottorappresentata nei dati dei test automatici, ma è fondamentale per il rilevamento degli incidenti, la risposta e l’analisi forense. La sua inclusione è fortemente sostenuta dal sondaggio della community.
A10:2025 - Mishandling of Exceptional Conditions
Posizione: #10 (Nuova Categoria)
Questa nuova categoria si concentra su come le applicazioni gestiscono gli errori e le condizioni anomale. Una gestione impropria può portare a vulnerabilità gravi, come la divulgazione di informazioni sensibili attraverso messaggi di errore, denial of service o stati di fallimento insicuri (fail-open). In un mondo di sistemi distribuiti e complessi, la capacità di un’applicazione di fallire in modo sicuro è una componente essenziale della sua resilienza.
Implicazioni per Sviluppatori e Organizzazioni
L’OWASP Top 10 2025 non è solo una lista, ma un invito all’azione. Per le organizzazioni, rappresenta un’opportunità per aggiornare i programmi di formazione, rivedere le pratiche di sviluppo sicuro e prioritizzare gli investimenti in sicurezza. L’enfasi crescente su aree come la supply chain e la progettazione sicura richiede un approccio olistico che vada oltre la semplice scansione del codice.
Gli sviluppatori dovrebbero concentrarsi su:
- Controllo degli Accessi: Implementare e testare rigorosamente i meccanismi di autorizzazione a livello centrale e server-side.
- Configurazione: Adottare pratiche di “Infrastructure as Code” (IaC) e controlli automatizzati per evitare errori di configurazione.
- Gestione delle Dipendenze: Mantenere un inventario aggiornato (Software Bill of Materials - SBOM) e monitorare costantemente le dipendenze per le vulnerabilità note.
- Gestione degli Errori: Progettare sistemi che “falliscano in modo chiuso” (fail-closed) e non espongano dettagli interni in caso di errore.
In conclusione, l’OWASP Top 10 2025 riflette la maturità e la complessità crescenti del panorama della sicurezza delle applicazioni. Spostando l’attenzione dalle singole vulnerabilità a rischi sistemici come la supply chain e la progettazione, OWASP fornisce una guida strategica essenziale per costruire software più resilienti e sicuri nel prossimo futuro.