Pagina 2 di 2
OWASP Top 10 è il riferimento essenziale per chiunque sviluppi o manutenga applicazioni web. Non è la bibbia della sicurezza, ma è la lista delle categorie di vulnerabilità che incontri realmente nei code review, negli audit, nei penetration test. Conoscere OWASP a memoria è il minimo sindacale per chi lavora su codice esposto al web.
In questa categoria applico le categorie OWASP al contesto PHP/Laravel: injection, broken access control, authentication failures, insecure design, vulnerable dependencies. Il taglio è quello di chi vede queste vulnerabilità in codice di produzione, non solo in slide di conferenze. Scrivimi per un audit, oppure scopri come lavoro.
La versione 2025 dell'OWASP Top 10 introduce cambiamenti significativi rispetto al 2021, in particolare sull'insecure design e sulla sicurezza del codice generato da AI. Ho analizzato 12 applicazioni PHP di clienti PMI contro il nuovo framework: i risultati mostrano pattern di vulnerabilità diversi rispetto a cinque anni fa. Continua a leggere
In un recente assessment su un gestionale Laravel per una PMI manifatturiera, ho trovato mass assignment non protetto, IDOR su quattro endpoint API, e un file .env esposto via misconfiguration Nginx. Nessuna di queste vulnerabilità richiedeva strumenti sofisticati per essere trovata - bastava sapere dove guardare. Continua a leggere
Un gestionale PHP 7.0 con 14 SQL injection, 23 punti XSS e un file phpinfo.php accessibile pubblicamente con tutte le credenziali visibili. L'audit che ho condotto in 3 giorni con grep, Psalm taint analysis e OWASP ZAP, e il piano di remediation che ha chiuso le 37 vulnerabilità critiche in due settimane. Continua a leggere
