Le Injection sono al primo posto nella Top 10 OWASP dei Rischi per le Web Application e questo perchè le applicazioni e le API spesso necessitano di lanciare comandi sulle piattaforme sottostanti come Database e sistema operativo per svolgere i più svariati compiti come: aggiungere o eliminare dati e/o file, eseguire script o lanciare un altro applicativo.
Cos’è l’attacco di tipo Injection
Una Injection avviene quando un attaccante riesce a far eseguire commandi che non sono correttamente validati e filtrati dall’applicazione, tra i più comuni troviamo SQL, NoSQL e OS Injection. Per maggiori dettagli ed alcuni esempi puoi visitare il sito dell’OWASP.
Grazie ad una Injection, ti possiamo assicurare, è possibile prendere il controllo completo di un’applicazione e dell’intero server o sistema in uso potendo quindi trafugare e modificare qualsiasi tipo di informazioni. Contattaci subito e senza impegno per verificare se la tua applicazione può subire una Injection.
Come prevenire le Injection
Per prevenire le injection:
- utilizza le safe API che evitano di operare con l’interprete di sistema;
- utilizza la validazione dell’input server-side;
- sanifica qualsiasi input che viene inviato all’applicazione;
- utilizza strumenti per prevenire la disclosure totale delle informazioni in un database;
- utilizza un Web Application Firewall(WAF) per mitigare il rischio;
- poni particolare attenzione a cosa esponi soprattutto se hai ambenti di staging e di development oltre quello di produzione;
- segui il Cheat Sheet dell’OWASP
oppure contattaci per un Security Code Review ed applicare la sicurezza alla tua Web Application e/o API.
Glue Labs e la Sicurezza delle Web Application e API
Grazie alla competenze maturate in tantissimi settori e con numerosi Clienti, al possesso di certificazioni internazionali dei più alti livelli ti forniamo assistenza e supporto tecnico per la protezione delle tue applicazioni, formazione avanzata, Penetration Test, Cyber Risk Assessment e molto altro. Contattaci subito e senza impegno per un preventivo gratuito.