Pagina 3 di 3
La superficie d'attacco più ampia e sfruttata nelle applicazioni web aziendali è il codice stesso: SQL injection, XSS, IDOR, autenticazione debole, logiche di autorizzazione bucate. L'hardening infrastrutturale è importante, ma se il codice è vulnerabile, niente lo salva.
In questa categoria scrivo di secure coding su PHP e Laravel: OWASP Top 10 applicato, input validation, output encoding, gestione sessioni, upload di file, CSRF, protezione contro SSRF. Il taglio è quello di chi ha fatto audit e penetration test reali. Parliamone se vuoi un audit del tuo codice, oppure scopri il mio percorso.
Dopo aver introdotto PHPStan a livello 9 su un progetto Laravel legacy con 80.000 righe di codice, ho trovato 340 errori di tipo - di cui 12 erano vulnerabilità di sicurezza reali, tra cui due SQL injection potenziali e una IDOR. L'analisi statica non sostituisce il pen test, ma lo rende più efficiente. Continua a leggere
Lo XSS stored che ho trovato in un CMS proprietario di un cliente media non era ovvio: si attivava solo in un campo amministrativo raramente utilizzato. Il payload sopravviveva a tre livelli di sanitizzazione perché ognuno usava una libreria diversa. Vi mostro la catena di bypass e come costruire una CSP che regge. Continua a leggere
NIS2 non è solo un problema del CISO o del DPO - riguarda chi scrive codice e chi gestisce server. Ho mappato gli articoli tecnici della direttiva su azioni concrete: quali log conservare, come strutturare l'incident response, cosa documentare per dimostrare conformità. Con esempi da un cliente manifatturiero già adeguato. Continua a leggere
Ho trovato una SQL injection in un gestionale di ordini PHP usato da un'azienda con 80 dipendenti. Il codice era del 2019, aggiornato più volte, ma la query vulnerabile era sopravvissuta a tutti i refactoring. Vi spiego perché SQLi è ancora viva, quali pattern la nascondono e come fare code review mirata. Continua a leggere
La versione 2025 dell'OWASP Top 10 introduce cambiamenti significativi rispetto al 2021, in particolare sull'insecure design e sulla sicurezza del codice generato da AI. Ho analizzato 12 applicazioni PHP di clienti PMI contro il nuovo framework: i risultati mostrano pattern di vulnerabilità diversi rispetto a cinque anni fa. Continua a leggere
In un recente assessment su un gestionale Laravel per una PMI manifatturiera, ho trovato mass assignment non protetto, IDOR su quattro endpoint API, e un file .env esposto via misconfiguration Nginx. Nessuna di queste vulnerabilità richiedeva strumenti sofisticati per essere trovata - bastava sapere dove guardare. Continua a leggere
Le credenziali del database di un cliente erano hardcoded nel file .env committato su un repo privato - privato, ma con accesso a 8 collaboratori. Quando uno di loro ha lasciato l'azienda, abbiamo scoperto che non esisteva un modo rapido per ruotare tutte le credenziali. HashiCorp Vault ha risolto il problema strutturalmente. Continua a leggere
