Injection nelle Web Application e nelle API: come prevenirle

Le Injection sono al primo posto nella Top 10 OWASP dei Rischi per le Web Application e questo perchè le applicazioni e le API spesso necessitano di lanciare comandi sulle piattaforme sottostanti come Database e sistema operativo per svolgere i più svariati compiti come: aggiungere o eliminare dati e/o file, eseguire script o lanciare un altro applicativo.

Cos’è l’attacco di tipo Injection

Una Injection avviene quando un attaccante riesce a far eseguire commandi che non sono correttamente validati e filtrati dall’applicazione, tra i più comuni troviamo SQL, NoSQL e OS Injection. Per maggiori dettagli ed alcuni esempi puoi visitare il sito dell’OWASP.

Grazie ad una Injection, ti possiamo assicurare, è possibile prendere il controllo completo di un’applicazione e dell’intero server o sistema in uso potendo quindi trafugare e modificare qualsiasi tipo di informazioni. Contattaci subito e senza impegno per verificare se la tua applicazione può subire una Injection.

Come prevenire le Injection

Per prevenire le injection:

utilizza le safe API che evitano di operare con l’interprete di sistema;
utilizza la validazione dell’input server-side;
sanifica qualsiasi input che viene inviato all’applicazione;
utilizza strumenti per prevenire la disclosure totale delle informazioni in un database;
utilizza un Web Application Firewall(WAF) per mitigare il rischio;
poni particolare attenzione a cosa esponi soprattutto se hai ambenti di staging e di development oltre quello di produzione;
segui il Cheat Sheet dell’OWASP

oppure contattaci per un Security Code Review ed applicare la sicurezza alla tua Web Application e/o API.