Skip to content
← Tutti gli articoli

Web Security

OWASP Top 10 2025 | Cosa È Cambiato e Perché È Importante

Analisi delle nuove categorie OWASP Top 10, con focus su BOLA, SSRF e Software Supply Chain. Note dal campo di chi fa pentest ogni settimana.

di Team SPECTROSEC 7 min Lettura stimata
OWASP Web Pentest Methodology

L'OWASP Top 10 è il framework di riferimento per la sicurezza delle applicazioni web. La revisione 2025 introduce cambiamenti sostanziali rispetto al 2021 | nuove categorie, priorità ridefinite e una copertura esplicita di scenari API-first.

Questo writeup è una lettura operativa, non una copia-incolla della documentazione ufficiale. Qui racconto cosa abbiamo visto sul campo durante gli ultimi 800+ engagement SPECTROSEC.

Le novità rilevanti

A01:2025 | Broken Access Control

Rimane al primo posto. 93% dei pentest SPECTROSEC trova almeno un finding di questa categoria. I pattern più comuni nel 2026:

  • BOLA (Broken Object Level Authorization) su API REST | /api/users/123/orders dove 123 è manipolabile
  • Tenant isolation rotto nei SaaS B2B multi-tenant
  • JWT con claim manipolabili lato client (role: userrole: admin)

A02:2025 | Cryptographic Failures

Cambio di enfasi: meno "TLS deboli" (ormai tutti su TLS 1.3), più "storage improprio di dati sensibili":

  • Database non criptati at-rest
  • Chiavi hardcoded in binari
  • Tokens stampati nei log strutturati

A10:2025 | Server-Side Request Forgery (SSRF)

Promossa a categoria dedicata. Critica in ambienti cloud dove una SSRF può portare all'IMDS (Instance Metadata Service) e rubare credenziali IAM temporanee.

Cosa testiamo in un assessment SPECTROSEC

Per ogni categoria manteniamo una checklist operativa con tool e payload:

Categoria             Tool principali            Quick win
---------             ---------------            ---------
Broken Access Ctrl   Burp + Autorize             Sostituzione ID
SQL Injection        sqlmap, Burp Intruder       Payload time-based
XSS                  XSStrike, Burp              Payload Polyglot
SSRF                 SSRFmap, Burp Collaborator  Blind SSRF out-of-band
Supply Chain         OSV-Scanner, Syft           CVE in dependencies

Perché la compliance non basta

Passare un'audit OWASP non significa essere sicuri. Gli attaccanti reali non seguono una checklist | combinano 3-4 vulnerabilità "medie" per ottenere accesso "critico".

Nel nostro ultimo engagement abbiamo catenato: IDOR → JWT manipulation → SSRF → IMDS → full cloud takeover. Ogni singola vulnerabilità aveva CVSS 5-6. La catena ha CVSS 10.

Il valore di un pentest SPECTROSEC non è trovare 10 vulnerabilità isolate. È mostrare come 3 di esse diventano un incident report.

Next step

Se gestisci un'applicazione web o un'API in produzione, un assessment OWASP Top 10 richiede 5-10 giorni lavorativi e parte da €2.500. Il report include:

  • Finding ranked per CVSS 3.1
  • Proof of concept con screenshot e payload
  • Remediation guide con priorità business
  • 90 giorni di retesting garantito

Richiedi un assessment →