Corso di Web Application Security (OWASP)

Modulo 1: la Sicurezza delle Applicazioni Web Panoramica su cos’è la sicurezza delle applicazioni web e la sua importanza. Cos’è la sicurezza delle applicazioni web? Perché è fondamentale proteggere le applicazioni web Concetti di base della sicurezza informatica applicati alle web application framework OWASP (Open Web Application Security Project) Modulo 2: Il Progetto OWASP e il Top Ten Approfondimento sul progetto OWASP e sul suo impatto sulla sicurezza delle applicazioni web. Cos’è l'OWASP e la sua missione L’OWASP Top Ten: le principali vulnerabilità nelle applicazioni web Storia dell’OWASP Top Ten e aggiornamenti recenti L'importanza dell’OWASP per i professionisti della sicurezza Modulo 3: Iniezione (Injection Attacks) Analisi delle vulnerabilità di iniezione e come prevenirle. Cos'è l’injection (SQL Injection, LDAP Injection, Command Injection) Come avvengono gli attacchi di iniezione Tecniche di prevenzione: uso di query parametrizzate, ORM (Object-Relational Mapping), e validazione dei dati Esempi di attacchi di iniezione comuni Modulo 4: Autenticazione e Gestione delle Sessioni Comprendere le problematiche legate all'autenticazione e alla gestione delle sessioni. Vulnerabilità comuni nell'autenticazione (attacchi di forza bruta, credenziali deboli) Tecniche per proteggere le credenziali utente (hashing, salting, autenticazione a due fattori) Gestione sicura delle sessioni: cookie sicuri, scadenza della sessione, token di sessione Esempi di vulnerabilità di sessione e come mitigarle (session fixation, session hijacking) Modulo 5: Cross-Site Scripting (XSS) Analisi delle vulnerabilità Cross-Site Scripting (XSS) e come difendersi. Cos'è il Cross-Site Scripting e i diversi tipi (Stored, Reflected, DOM-based) Come avvengono gli attacchi XSS Tecniche di prevenzione: escaping dei dati, Content Security Policy (CSP), validazione dell'input Come difendersi utilizzando le best practices di codifica Modulo 6: Controllo degli Accessi e Autorizzazioni Gestire correttamente i controlli di accesso e le autorizzazioni per prevenire attacchi. Cos’è il controllo degli accessi e come implementarlo correttamente Vulnerabilità di accesso: attacchi di elevazione dei privilegi e bypass di autorizzazioni Principio del minimo privilegio e gestione delle autorizzazioni Tecniche per implementare correttamente controlli di accesso (RBAC, ABAC) Modulo 7: Sicurezza nelle Comunicazioni Web (SSL/TLS) Sicurezza nelle comunicazioni via web e come proteggere la trasmissione dei dati. Cos’è SSL/TLS e come funziona L'importanza di HTTPS per proteggere la trasmissione dei dati Vulnerabilità comuni nelle implementazioni SSL/TLS (attacchi Man-in-the-Middle, BEAST, POODLE) Best practices per l'implementazione sicura di SSL/TLS Modulo 8: Sicurezza nei Web Services (API Security) Protezione delle API e dei servizi web da vulnerabilità comuni. Cos’è un API e come sono vulnerabili le API (autenticazione, autorizzazione, SQL Injection) Tecniche di sicurezza per proteggere le API (OAuth, JWT, rate limiting) Best practices per la gestione sicura delle API e il controllo degli accessi Sicurezza in GraphQL e RESTful API Modulo 9: Falsificazione di Richieste da Siti Diversi (CSRF) Comprendere la vulnerabilità CSRF e come prevenirla. Cos’è il Cross-Site Request Forgery (CSRF) e come funziona Come prevenire gli attacchi CSRF: token di validazione, SameSite cookies Best practices per la protezione contro CSRF Analisi degli attacchi CSRF e tecniche di difesa Modulo 10: Configurazione Sicura dell'Applicazione L'importanza di una corretta configurazione dell'applicazione per la sicurezza. Vulnerabilità derivanti da configurazioni errate (file di configurazione, server non sicuri) Tecniche per una corretta configurazione di un'applicazione web Best practices di sicurezza per le configurazioni di rete, database e file system Come gestire correttamente le variabili di ambiente e i segreti Modulo 11: Protezione contro gli Attacchi Denial-of-Service (DoS) Prevenire e mitigare gli attacchi DoS e DDoS nelle applicazioni web. Cos’è un attacco DoS e DDoS e come funziona Tipologie di attacchi DoS/DDoS e tecniche di mitigazione (filtraggio, rate limiting, CDN) Come progettare un’applicazione per resistere agli attacchi di tipo DoS Strumenti e soluzioni per la protezione contro DoS/DDoS Modulo 12: Logging e Monitoraggio della Sicurezza delle Applicazioni L’importanza del logging e del monitoraggio per rilevare vulnerabilità e attacchi. Come implementare un sistema di logging sicuro e conforme Cosa monitorare nelle applicazioni per rilevare anomalie (tentativi di accesso sospetti, errori di autenticazione) Analisi dei log per individuare potenziali minacce Strumenti di monitoraggio per la sicurezza delle applicazioni web Modulo 13: Sicurezza nelle Librerie e nei Framework Come proteggere le applicazioni web attraverso l’uso sicuro di librerie e framework. Le vulnerabilità comuni nei framework e nelle librerie di terze parti Come scegliere e mantenere sicure le librerie di terze parti Tecniche di validazione e sanificazione dei dati provenienti dalle librerie esterne La gestione degli aggiornamenti di sicurezza per framework e librerie Modulo 14: Security by Design e Secure Development Lifecycle Integrare la sicurezza nel ciclo di vita dello sviluppo software. Concetto di Security by Design e Secure Development Lifecycle (SDLC) Tecniche per sviluppare applicazioni sicure fin dalle prime fasi (design, sviluppo, test) Best practices di sicurezza nell’intero ciclo di vita delle applicazioni Come implementare la sicurezza nei flussi di lavoro DevOps (DevSecOps) Modulo 15: Best Practices di Sicurezza per le Applicazioni Web Riflessioni finali e le migliori pratiche per garantire la sicurezza delle applicazioni web. Sintesi delle vulnerabilità e delle contromisure principali (OWASP Top Ten) Come mantenere la sicurezza nelle applicazioni durante il loro ciclo di vita Le ultime tendenze e le minacce emergenti nella sicurezza delle applicazioni web Risorse aggiuntive per aggiornamenti continui sulla sicurezza (OWASP, vulnerabilità zero-day)