WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

Cos'e la OWASP Top 10?

La OWASP Top 10 e un documento standard di sensibilizzazione pubblicato dall'Open Worldwide Application Security Project. Rappresenta i dieci rischi di sicurezza piu critici per le applicazioni web, basato su un ampio consenso di esperti di sicurezza di tutto il mondo.

Con che frequenza viene aggiornata la OWASP Top 10?

La OWASP Top 10 viene tipicamente aggiornata ogni 3-4 anni. La versione piu recente e stata rilasciata nel 2021, e l'edizione 2025 incorpora nuovi dati sulla sicurezza delle API, attacchi alla catena di fornitura e vulnerabilita legate all'IA.

La OWASP Top 10 e un requisito legale?

Sebbene la OWASP Top 10 non sia un requisito legale in se, e referenziata da numerose normative e standard tra cui PCI DSS, NIS2 e ISO 27001. Molti organismi normativi considerano la conformita alla OWASP Top 10 come un minimo per dimostrare la dovuta diligenza.

Come possono le PMI implementare le protezioni OWASP Top 10 in modo accessibile?

Le PMI possono iniziare con strumenti di scansione automatizzata come WarDek per identificare le vulnerabilita e prioritizzare le correzioni in base al rischio. Molte protezioni sono basate sulla configurazione (header di sicurezza, HTTPS) e non costano nulla.

Qual e la differenza tra OWASP Top 10 e OWASP ASVS?

La OWASP Top 10 e un documento di sensibilizzazione che evidenzia i rischi piu critici. L'OWASP ASVS e un framework completo con requisiti di sicurezza dettagliati organizzati in tre livelli di verifica.

Gli strumenti automatizzati possono rilevare tutte le vulnerabilita della OWASP Top 10?

Gli strumenti automatizzati possono rilevare molti problemi della OWASP Top 10, in particolare configurazioni errate (A05), componenti vulnerabili (A06) e alcune falle di iniezione (A03). Tuttavia, le falle nella logica aziendale (A04) e alcuni problemi di controllo degli accessi (A01) richiedono revisione manuale.

OWASP Top 10 2025 — Complete Guide for SMEs

Cos'è la OWASP Top 10?

L'Open Worldwide Application Security Project (OWASP) è una fondazione senza scopo di lucro dedicata al miglioramento della sicurezza del software. La sua pubblicazione di punta, la OWASP Top 10, cataloga i dieci rischi di sicurezza più critici che affrontano le applicazioni web. Pubblicata per la prima volta nel 2003, è diventata lo standard de facto per la consapevolezza sulla sicurezza delle applicazioni web.

L'edizione 2025 si basa sui dati di oltre 500.000 applicazioni e i contributi di centinaia di esperti di sicurezza. Per le PMI, questi rischi non sono teorici — rappresentano i vettori di attacco esatti utilizzati nella maggior parte delle violazioni reali. Secondo il Verizon 2024 Data Breach Investigations Report, l'83 % delle violazioni ha coinvolto attori esterni che sfruttavano vulnerabilità delle applicazioni web direttamente mappabili alla OWASP Top 10.

A01: Controllo degli accessi non funzionante

Cos'è:Il controllo degli accessi applica politiche affinché gli utenti non possano agire al di fuori dei permessi previsti. Quando questi controlli falliscono, gli attaccanti possono visualizzare i dati di altri utenti, modificare record o elevare i privilegi a livello amministratore.

Impatto reale:Nel 2023, un importante operatore australiano di telecomunicazioni ha esposto 10 milioni di record clienti a causa di un endpoint API difettoso che non verificava l'identità del richiedente. L'attaccante ha semplicemente iterato gli ID clienti nell'URL. Il costo medio di una violazione da controllo degli accessi difettoso è di 4,35 milioni di dollari (IBM Cost of a Data Breach Report 2024).

Come verificare: Verificare se gli utenti autenticati possono accedere a risorse di altri utenti modificando parametri URL, corpi di richieste API o cookie. Verificare che le funzioni amministrative siano inaccessibili agli utenti regolari.

Come correggere:Implementare controlli di accesso lato server su ogni richiesta. Utilizzare politiche di negazione per impostazione predefinita. Applicare la proprietà dei record a livello di query del database (ad esempio, filtrare sempre per ID utente autenticato). Disabilitare l'elenco delle directory e assicurarsi che i file di metadati (.git, .env) non siano accessibili.

A02: Errori crittografici

Cos'è:Precedentemente chiamata "Esposizione di dati sensibili", questa categoria copre gli errori nella crittografia che portano all'esposizione di dati sensibili. Include la trasmissione di dati in chiaro, l'uso di algoritmi obsoleti (MD5, SHA1 per le password), la generazione debole di chiavi e la validazione impropria dei certificati.

Impatto reale: La violazione MOVEit del 2024 ha colpito oltre 2.600 organizzazioni a causa della crittografia inadeguata dei dati a riposo. Le organizzazioni sanitarie sono particolarmente vulnerabili: le violazioni HIPAA da errori crittografici hanno comportato sanzioni superiori a 10 milioni di dollari.

Come verificare: Verificare che tutti i dati in transito utilizzino TLS 1.2 o superiore. Controllare che le password siano hashate con bcrypt, scrypt o Argon2. Assicurarsi che nessun dato sensibile sia memorizzato in chiaro nei database o nei log. Cercare certificati scaduti o autofirmati.

Come correggere: Imporre HTTPS ovunque con header HSTS (inclusi i sottodomini). Utilizzare algoritmi di hashing moderni per le password. Crittografare i dati sensibili a riposo con AES-256. Ruotare periodicamente le chiavi di crittografia. Non registrare mai dati sensibili come password, token o numeri di carta di credito.

A03: Iniezione

Cos'è:Le vulnerabilità di iniezione si verificano quando dati non attendibili vengono inviati a un interprete come parte di un comando o di una query. SQL injection, NoSQL injection, iniezione di comandi del sistema operativo e LDAP injection sono le varianti più comuni. Il Cross-site scripting (XSS) è anch'esso classificato qui nell'edizione 2025.

Impatto reale:L'SQL injection rimane la classe di vulnerabilità più sfruttata. La violazione Fortra GoAnywhere nel 2024 ha utilizzato un'iniezione per deserializzazione per compromettere oltre 130 organizzazioni. Gli attacchi XSS hanno rappresentato il 27 % di tutte le vulnerabilità delle applicazioni web segnalate nel 2024 (HackerOne Annual Report).

Come verificare: Testare tutti gli input utente (moduli, parametri URL, header, cookie) con payload di iniezione. Utilizzare scanner automatizzati per rilevare XSS riflesso e memorizzato. Verificare che gli endpoint API rifiutino tipi di dati imprevisti.

Come correggere:Utilizzare esclusivamente query parametrizzate o istruzioni preparate — non concatenare mai l'input utente nelle query. Validare e sanificare tutti gli input lato server con schemi rigorosi (Zod, Joi). Implementare header Content Security Policy (CSP) per mitigare gli XSS. Utilizzare ORM con parametrizzazione integrata (Prisma, Drizzle).

A04: Progettazione insicura

Cos'è:Una nuova categoria introdotta nel 2021. La progettazione insicura si riferisce a difetti nell'architettura e nella progettazione di un'applicazione che non possono essere corretti dalla sola implementazione. Include l'assenza di modellazione delle minacce, la logica di business insicura e la mancanza di difesa in profondità.

Impatto reale:Una fintech europea ha perso 2,3 milioni di euro quando gli attaccanti hanno sfruttato un difetto nella logica di business del flusso di pagamento — l'applicazione consentiva importi di transazione negativi, permettendo agli attaccanti di trasferire denaro a se stessi. Nessuna validazione degli input avrebbe rilevato questo senza una corretta modellazione delle minacce.

Come verificare:Esaminare l'architettura dell'applicazione per la difesa in profondità. Verificare che i requisiti di sicurezza siano stati definiti prima dello sviluppo. Controllare la limitazione della frequenza sulle funzioni critiche (login, reset password, pagamento). Valutare se è stata eseguita una modellazione delle minacce.

Come correggere:Integrare la sicurezza dalla fase di progettazione. Eseguire la modellazione delle minacce utilizzando le metodologie STRIDE o PASTA. Definire casi d'abuso insieme ai casi d'uso. Implementare la limitazione della frequenza, i circuit breaker e i limiti di transazione. Separare i tenant e i livelli di fiducia a livello architetturale.

A05: Configurazione di sicurezza errata

Cos'è:Il problema più frequentemente osservato nella pratica. Include credenziali predefinite, storage cloud aperto, funzionalità non necessarie abilitate, configurazioni incomplete, CORS troppo permissivi, header di sicurezza mancanti e messaggi di errore dettagliati che espongono stack trace.

Impatto reale:Nel 2024, migliaia di organizzazioni sono state compromesse attraverso bucket S3 mal configurati, API Docker esposte e credenziali predefinite di dashboard Kubernetes. Il rapporto sulla sicurezza 2024 di Microsoft ha rilevato che l'80 % delle violazioni cloud derivava da configurazioni errate, non da exploit zero-day.

Come verificare: Cercare header di sicurezza mancanti (X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security, Content-Security-Policy, Permissions-Policy). Testare le credenziali predefinite. Verificare che le pagine di errore non rivelino stack trace o percorsi interni. Controllare che i metodi HTTP non necessari (TRACE, OPTIONS) siano disabilitati.

Come correggere:Implementare una checklist di hardening per ogni deployment. Impostare header di sicurezza completi. Disabilitare l'elenco delle directory, gli account predefiniti e le modalità di debug in produzione. Utilizzare l'infrastructure-as-code per imporre configurazioni coerenti. Automatizzare gli audit di configurazione con strumenti come WarDek.

A06: Componenti vulnerabili e obsoleti

Cos'è:Applicazioni che utilizzano librerie, framework o altri moduli software con vulnerabilità note. Include sistemi operativi non aggiornati, server web, sistemi di gestione di database, API e tutti i componenti incluse librerie, framework e altri moduli software.

Impatto reale:La vulnerabilità Log4Shell (CVE-2021-44228) in Apache Log4j ha colpito milioni di applicazioni in tutto il mondo. Nel 2024, vulnerabilità critiche in XZ Utils (CVE-2024-3094) hanno dimostrato come gli attacchi alla catena di approvvigionamento attraverso dipendenze open-source possano compromettere interi ecosistemi. Synopsys ha riferito che l'84 % delle codebase contiene almeno una vulnerabilità nota nei componenti open-source.

Come verificare:Mantenere un inventario dei componenti software (SBOM). Eseguire regolarmente audit delle dipendenze (npm audit, pip-audit, Trivy). Monitorare i database di vulnerabilità (NVD, GitHub Advisory Database) per i componenti in uso. Verificare che nessun componente a fine vita sia in produzione.

Come correggere: Automatizzare gli aggiornamenti delle dipendenze con strumenti come Dependabot o Renovate. Rimuovere le dipendenze inutilizzate. Iscriversi agli avvisi di sicurezza per i componenti critici. Fissare le versioni esatte delle dipendenze in produzione. Testare gli aggiornamenti in staging prima del deployment.

A07: Errori di identificazione e autenticazione

Cos'è:Debolezze nei meccanismi di autenticazione che consentono agli attaccanti di compromettere password, token di sessione o sfruttare difetti di implementazione per assumere l'identità di altri utenti. Include credential stuffing, attacchi brute force, politiche di password deboli e gestione impropria delle sessioni.

Impatto reale:Gli attacchi di credential stuffing costano alle aziende circa 6 miliardi di dollari all'anno (Akamai 2024 State of the Internet Report). La violazione di 23andMe nel 2023 ha compromesso 6,9 milioni di profili utente tramite credential stuffing con credenziali trapelate da altre violazioni.

Come verificare:Testare le politiche di password deboli (lunghezza minima, complessità). Verificare il blocco dell'account dopo tentativi falliti. Controllare che i token di sessione vengano invalidati al logout. Testare la fissazione della sessione e la memorizzazione insicura delle sessioni. Verificare che l'autenticazione multifattore sia disponibile.

Come correggere:Implementare l'autenticazione multifattore (MFA). Utilizzare librerie di autenticazione collaudate (Better Auth, NextAuth, Auth0). Applicare politiche di password robuste (minimo 12 caratteri). Limitare la frequenza dei tentativi di accesso. Invalidare le sessioni al cambio password. Memorizzare i token di sessione in cookie HttpOnly e Secure.

A08: Errori di integrità del software e dei dati

Cos'è:Codice e infrastruttura che non proteggono dalle violazioni di integrità. Include l'uso di aggiornamenti software senza verifica, pipeline CI/CD insicure e la deserializzazione di dati non attendibili. Gli attacchi alla catena di approvvigionamento rientrano pienamente in questa categoria.

Impatto reale:La violazione SolarWinds (2020) e la compromissione del bash uploader di Codecov (2021) sono esempi da manuale di attacchi alla catena di approvvigionamento. Nel 2024, la backdoor di XZ Utils (CVE-2024-3094) ha dimostrato che anche le utility essenziali di Linux possono essere compromesse attraverso l'ingegneria sociale dei manutentori. Questi attacchi colpiscono simultaneamente migliaia di organizzazioni a valle.

Come verificare:Verificare che gli aggiornamenti software siano distribuiti tramite canali firmati. Controllare le pipeline CI/CD per script non firmati o dipendenze ottenute senza verifica di integrità. Auditare la Subresource Integrity (SRI) per script e fogli di stile caricati esternamente.

Come correggere: Verificare le firme digitali su tutti gli aggiornamenti software. Implementare hash Subresource Integrity (SRI) per le risorse ospitate su CDN. Proteggere le pipeline CI/CD con commit firmati e branch protetti. Utilizzare file di lock e verificare i checksum delle dipendenze. Evitare di deserializzare dati non attendibili.

A09: Errori di registrazione e monitoraggio della sicurezza

Cos'è:Registrazione, rilevamento, monitoraggio e risposta attiva insufficienti. Senza una registrazione adeguata, le violazioni non possono essere rilevate, e senza monitoraggio, gli eventi registrati non vengono mai esaminati. Il tempo medio per identificare una violazione è di 204 giorni (IBM 2024), in gran parte a causa del monitoraggio inadeguato.

Impatto reale:La violazione di Equifax è rimasta inosservata per 78 giorni nonostante l'intrusione fosse visibile nei log che nessuno ha esaminato. Le organizzazioni con un adeguato monitoraggio della sicurezza rilevano le violazioni 68 giorni prima in media, riducendo il costo di 1,76 milioni di dollari (IBM 2024).

Come verificare: Verificare che i tentativi di accesso (riusciti e falliti) siano registrati. Controllare che gli errori di controllo degli accessi generino avvisi. Assicurarsi che i log siano memorizzati in modo sicuro e non possano essere manomessi. Verificare che i dati di log siano conservati per un periodo sufficiente (minimo 90 giorni, preferibilmente 12 mesi).

Come correggere:Registrare tutti gli eventi di autenticazione, gli errori di controllo degli accessi e gli errori di validazione degli input lato server. Utilizzare la registrazione strutturata (formato JSON) per l'analisi leggibile dalle macchine. Implementare avvisi per pattern sospetti (multipli tentativi di accesso falliti, tentativi di escalation dei privilegi). Memorizzare i log centralmente con protezione contro la manomissione. Non registrare mai dati sensibili (password, token, PII).

A10: Server-Side Request Forgery (SSRF)

Cos'è:Le vulnerabilità SSRF si verificano quando un'applicazione web recupera una risorsa remota senza validare l'URL fornito dall'utente. Gli attaccanti possono forzare il server a effettuare richieste verso servizi interni, endpoint di metadati cloud o sistemi esterni, spesso aggirando firewall e controlli di accesso.

Impatto reale:La violazione di Capital One (2019) ha sfruttato una vulnerabilità SSRF per accedere ai metadati AWS e rubare 100 milioni di record clienti. Negli ambienti cloud, SSRF è particolarmente pericoloso perché l'endpoint dei metadati cloud (169.254.169.254) fornisce accesso alle credenziali IAM, che possono essere utilizzate per accedere a qualsiasi risorsa cloud che l'istanza è autorizzata a raggiungere.

Come verificare:Testare tutti i campi di input URL per SSRF inviando indirizzi interni (127.0.0.1, 169.254.169.254, nomi host interni). Verificare se l'applicazione segue i reindirizzamenti che risolvono a indirizzi interni. Verificare che la protezione contro il DNS rebinding sia attiva.

Come correggere: Validare e sanificare tutti gli URL lato server. Implementare allowlist per domini e protocolli consentiti. Bloccare le richieste verso intervalli IP privati (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) e endpoint di metadati cloud. Disabilitare i reindirizzamenti HTTP o validare le destinazioni di reindirizzamento. Utilizzare la segmentazione di rete per limitare il traffico in uscita del server.

Perché le PMI sono particolarmente vulnerabili

Le piccole e medie imprese affrontano una sfida di sicurezza sproporzionata. Pur detenendo dati preziosi dei clienti e processando transazioni finanziarie, generalmente mancano di team di sicurezza dedicati. Secondo il rapporto Hiscox Cyber Readiness 2024:

Il 43 % degli attacchi informatici prende di mira le piccole imprese
Il 60 % delle PMI che subiscono una violazione chiudono entro 6 mesi
Il costo medio di una violazione per una PMI è di 108.000 $
Solo il 14 % delle PMI dispone di un piano formale di risposta agli incidenti

La buona notizia è che affrontare la OWASP Top 10 elimina la grande maggioranza della superficie di attacco. La maggior parte delle vulnerabilità in queste categorie può essere rilevata automaticamente e corretta con modifiche di configurazione o aggiornamenti minori del codice — non è necessario un budget di sicurezza a sei cifre.

Iniziare con la conformità OWASP

L'approccio più efficace per le PMI è iniziare con scansioni automatizzate per identificare i problemi più critici, quindi dare priorità alle correzioni in base al rischio. Ecco un approccio pratico in tre passaggi:

Scansionare: Eseguire una scansione di sicurezza automatizzata per identificare header mancanti, problemi TLS, componenti vulnerabili e configurazioni errate comuni. Questo copre A02, A05, A06 e parzialmente A03 e A10.
Correggere prima i problemi critici:Affrontare gli header di sicurezza, abilitare HTTPS con HSTS, aggiornare le dipendenze vulnerabili e verificare la configurazione dell'autenticazione. Si tratta generalmente di modifiche di configurazione che richiedono ore, non settimane.
Integrare la sicurezza nel processo:Integrare la scansione automatizzata nella pipeline CI/CD, programmare aggiornamenti regolari delle dipendenze e condurre revisioni di sicurezza trimestrali. La prevenzione è sempre meno costosa della rimediazione.