MAN-IN-THE-MIDDLE (MITM)
Un attaccante intercetta la comunicazione tra client
e server per leggere o modificare i messaggi
scambiati. Può rubare credenziali o alterare dati
sensibili. Si previene con TLS/HTTPS, certificate
pinning e autenticazione forte.
REPLAY-SESSION ATTACK
L’attaccante riutilizza token o cookie di sessione
validi rubati da un utente legittimo per impersonarlo.
Si evita usando token temporanei, nonce, timeout di
sessione e connessioni cifrate.
XML SIGNATURE WRAPPING
L’attaccante modifica la struttura di un messaggio
XML firmato mantenendo la firma valida, ma
alterando il contenuto effettivo. Si previene
collegando la firma alla sezione esatta del
documento e validando la struttura XML.
SERVICE FLOODING (SOAP/REST DoS)
Consiste nell’invio massiccio di richieste per saturare
il servizio. Si contrasta con rate limiting, firewall
applicativi, bilanciamento del carico e caching.
INJECTION ATTACKS (SQL, LDAP, COMMAND)
L’attaccante inserisce codice malevolo in parametri
d’ingresso che vengono interpretati come comandi
dal server. Prevenzione tramite query
parametrizzate, escaping, e validazione dell’input.
INSECURE DESERIALIZATION
L’attaccante invia oggetti serializzati manipolati per
eseguire codice arbitrario o modificare dati. Si evita
evitando la deserializzazione non sicura e
controllando la provenienza degli oggetti.
DIRECT OBJECT REFERENCE (IDOR)
Si accede a risorse altrui modificando un parametro
identificativo (es. user?id=2). Si previene verificando
i permessi lato server e usando identificatori indiretti
o cifrati. BROKEN AUTHENTICATION
Debolezze nei meccanismi di login o gestione delle
sessioni permettono accesso non autorizzato. Si
previene con autenticazione multifattore, token
sicuri e timeout di sessione.
CROSS-SITE SCRIPTING (XSS)
L’attaccante inietta codice JavaScript malevolo in
una pagina web, che viene poi eseguito sul browser
della vittima. Si evita sanificando l’output e filtrando
l’input.
CROSS-SITE REQUEST FORGERY (CSRF)
L’attaccante induce un utente autenticato a eseguire
azioni non volute sul server. Si previene con token
anti-CSRF, SameSite cookie e verifica dell’origine
delle richieste. OPEN REDIRECT
Un servizio redirige verso URL fornite dall’utente
senza verificarle. L’attaccante può sfruttarlo per
phishing o furto di credenziali. Si previene validando
e limitando gli URL di destinazione.
PARAMETER POLLUTION
Consiste nell’invio di parametri duplicati o manipolati
(es. ?id=1&id=2) per confondere l’applicazione o
bypassare controlli di sicurezza. Si evita gestendo
correttamente i parametri e validandone l’unicità.
JSON INJECTION
Attacco simile a XPath Injection ma applicato ai
servizi REST/JSON. Manipola i dati in formato JSON
per eseguire codice indesiderato o corrompere la
logica applicativa. Si previene con parser sicuri e
validazione dello schema JSON.
JSON HIJACKING
Attacco che sfrutta la condivisione di dati JSON
tramite richieste non protette (es. JSONP). Permette
di leggere dati sensibili di un utente autenticato. Si
previene con Content-Type corretti, CORS sicuro e
token anti-CSRF.
CORS MISCONFIGURATION
Configurazioni errate del Cross-Origin Resource
Sharing permettono a siti esterni di accedere alle API
in modo non autorizzato. Si evita specificando
correttamente i domini ammessi e i metodi
consentiti.
INSECURE DIRECTORIES OR ENDPOINTS
Endpoint REST o file di configurazione accessibili
pubblicamente possono esporre informazioni
sensibili (token, chiavi API). Si previene limitando
l’accesso e rimuovendo endpoint di debug o test.
Accedi a tutti gli appunti
Tutor AI: studia meglio e in meno tempo
