SOLUZIONI
Offerta di esperienze online di livello superiore
Mitigazione degli attacchi DDoS Blocca l'abuso di bot dannosi Accelerare le applicazioni Internet Assicura la disponibilità delle applicazioni Ottimizzazione dell'esperienza Web Streaming video on demand
Sicurezza delle applicazioni e dei dispositivi dei dipendenti
Sicurezza Zero Trust per le applicazioni Implementa SASE (Secure Access Service Edge) Protezione degli utenti che accedono a Internet Protezione delle reti aziendali Gestione dell'accesso sicuro degli appaltatori Sostituzione delle reti private virtuali (VPN) Proteggi le forze lavoro in remoto Blocco degli attacchi Zero Day con isolamento del browser
 
Protezione e accelerazione delle reti
Mitigazione degli attacchi DDoS L3 Collegamento dell'infrastruttura di rete a Cloudflare Trasforma le reti aziendali
Implementazione codice sul perimetro di rete
Creazione di una applicazione serverless Implementazione di un sito statico Configurazione di una CDN Definizione instradamento condizionale delle richieste
Gestisci un cloud sicuro
Accesso sicuro a piattaforme ibride, cloud e SaaS Abilitazione SSL per applicazioni SaaS Riduzione dei costi di trasferimento dati nel cloud
Registrazione di un sito web
Registrazione o trasferimento di un sito web
SETTORI
eCommerce Gaming Media e intrattenimento Settore pubblico SaaS
INTERESSE PUBBLICO
Campagne elettorali Progetto Athenian Progetto Galileo
PER L'INFRASTRUTTURA
Sicurezza delle applicazioni e di rete
Protezione dagli attacchi DDoS WAF Gestione dei bot Transizione magica Rate Limiting SSL/TLS Cloudflare Spectrum Interconnessione di rete
Prestazioni e affidabilità
CDN DNS Argo Smart Routing Bilanciamento del carico Diffusione di contenuti in streaming China Network
PER I TEAM
Cloudflare per Teams Access Gateway Isolamento del browser
PER SVILUPPATORI
Applicazioni serverless
Cloudflare Workers Cloudflare Workers KV
Registrazione dominio
Cloudflare Registrar
Sviluppo di siti web
Pagine Cloudflare Cloudflare Stream
PER TUTTI
1.1.1.1 1.1.1.1 con WARP (App) 1.1.1.1 per le famiglie
APPROFONDIMENTI
Analytics Log di Cloudflare Web analytics Cloudflare Radar
PRIVACY
Localizzazione dei dati Conformità
PER L'INFRASTRUTTURA
Sicurezza avanzata
Gestione dei bot Regole del firewall Transizione magica Spectrum (TCP/UDP) SSL WAF
Prestazioni e affidabilità
CDN DNS Ridimensionamento delle immagini Bilanciamento del carico Stream (video) Argo Tunnel
 
Approfondimenti
Analytics
Registrazione dominio
Registrar
PER APPLICAZIONI SERVERLESS
Avvio rapido di Workers Pagine Cloudflare Progetti campione Workers Tutorial per Workers Riga di comando (Wrangler) Runtime
PER I TEAM
Access Accesso ai log di controllo Gateway Registri attività di Gateway
ESPLORA L'API DI CLOUDFLARE
API Cloudflare Autenticazione API
HUB DOCUMENTAZIONE
Hub documentazione per sviluppatori
RISORSE
Hub risorse White paper Webinar Guide ai prodotti e soluzioni Case study Analisti
ESPLORA
Qual’è la novità? Mappa di rete Cloudflare in Cina GDPR
INIZIA
Registra il tuo sito web Welcome center Ottieni assistenza
IMPARA
Centro di apprendimento Sicurezza DDoS Gestione dei bot SSL Gestione identità e accesso Prestazioni CDN DNS Cloud Serverless Livello di rete
CONNETTITI
Blog Community
CONFORMITÀ
GDPR Rapporto sulla trasparenza Conformità
CONTATTA
+1 650 319 8930
PARTNER CHANNEL E ALLIANCE
Partner network Portale Partner
PARTNER TECHNOLOGY
Panoramica Partner di analytics Bandwidth Alliance Partnership di interconnessione Portale di peering
TARIFFE DEI PIANI
Pro Business Enterprise
CONFRONTA ED ESPLORA
Hai bisogno di aiuto per scegliere il piano? Componenti aggiuntivi Confronta tutti i piani

Che cos'è la sicurezza delle applicazioni Web?

La sicurezza delle applicazioni Web è importante per tutte le imprese. Scopri quali sono le vulnerabilità delle applicazioni Web comuni e come mitigarle.

Share facebook icon linkedin icon twitter icon email icon
What is Web Application Security?
Common Threats
Glossary
Perché usare HTTPS?
Hijack del DNS globale
  • What is Web Application Security?

    Che cos'è la sicurezza delle applicazioni Web?

    Sicurezza delle applicazioni Web

    La sicurezza delle applicazioni Web è un componente centrale di ogni impresa basata sul Web. La natura globale di Internet espone le proprietà Web agli attacchi da diversi punti e a diversi livelli di portata e complessità. La sicurezza applicazione Web si occupa specificatamente della sicurezza dei siti Web, delle applicazioni Web e dei servizi Web come le API.

    Quali sono alcune delle vulnerabilità comuni nella sicurezza delle applicazioni Web?

    Gli attacchi contro le app Web variano da manipolazioni di database mirati alle interruzioni di rete su larga scala. Vediamo alcuni dei comuni metodi di attacco o "vettori" che sono usati più frequentemente.

    • Cross site scripting o XSS: XSS è una vulnerabilità che consente a un aggressore di inserire degli script del lato cliente in una pagina Web per riuscire ad accedere direttamente a delle informazioni importanti, per impersonare l'utente o ingannare l'utente e farsi rivelare informazioni importanti.
    • SQL injection o SQi: SQi è un metodo secondo il quale un aggressore sfrutta le vulnerabilità del modo in cui un database esegue le query di ricerca. Gli aggressori usano SQi per ottenere l'accesso alle informazioni non autorizzate, modificare o creare nuove autorizzazioni utente o comunque manipolare o distruggere i dati sensibili.
    • Attacchi Denial-of-service o DoS e distributed Denial-of-Service o DDoS: attraverso una gamma di vettori, gli aggressori sono in grado di sovraccaricare un server preso di mira o la relativa infrastruttura circostante con diversi tipi di traffico di attacco. Quando un server non è più in grado di elaborare in modo efficace le richieste in arrivo, comincia a comportarsi in modo lento e finisce per negare il servizio alle richieste in arrivo da utenti legittimi.
    • Danneggiamento della memoria: il danneggiamento della memoria si verifica quando un punto della memoria viene modificato non intenzionalmente, con il risultato che il software potrebbe comportarsi in modo inaspettato. I soggetti ostili cercheranno di identificare e sfruttare i danni alla memoria attraverso cose come diffusione di codice o attacchi di overflow del buffer.
    • Overflow del buffer: l'overflow del buffer è un'anomalia che si verifica quando si scrivono dei dati in uno spazio definito della memoria conosciuto come buffer. La conseguenza del sovraccaricare la capacità del buffer è che aree di memoria adiacenti vengono sovrascritte. È possibile sfruttare questo comportamento per diffondere codice dannoso nella memoria, potenzialmente creando una vulnerabilità nella macchina bersagliata.
    • Cross-site request forgery o CSRF: la cosiddetta CSRF, o richiesta intersito falsa, comporta ingannare una vittima e farle fare una richiesta che ne utilizza l'autenticazione o autorizzazione. Sfruttando i privilegi dell'account di un utente, un aggressore è in grado di inviare una richiesta facendo finta di essere l'utente stesso. Una volta che l'account dell'utente è stato compromesso, l'aggressore può rimuovere, distruggere o modificare le informazioni importanti. Gli account con privilegi elevati, come quelli di amministratori o dirigenti, sono spesso presi di mira.
    • Violazione dei dati: è diversa dai vettori di attacco specifici. La violazione dei dati è un termine generico che si riferisce al rilascio di informazioni riservate o sensibili e può verificarsi attraverso azioni dannose o per errore. L'ambito in cui debba ricadere una violazione di dati è piuttosto ampio e potrebbe andare da qualche dato prezioso fino a milioni di account utente esposti.

    Quali sono le migliori prassi da adottare per mitigare le vulnerabilità?

    Alcune delle misure importanti nel proteggere le app Web dallo sfruttamento includono l'utilizzo di crittografia aggiornata, richiedere un'autenticazione idonea, aggiornare le patch per le vulnerabilità scoperte in modo continuo e avere delle buone prassi nello sviluppo del software. La verità è che gli aggressori intelligenti potrebbero riuscire a trovare delle vulnerabilità persino in un ambiente con una sicurezza robusta, quindi si consiglia un approccio olistico alla strategia di sicurezza.

    La sicurezza delle applicazioni Web può essere migliorata proteggendosi dagli attacchi DDoS, al livello applicativo e DNS:

    WAF - Protezione dagli attacchi al livello applicativo

    Un Web Application Firewall o WAF aiuta a proteggere un'applicazione Web dal traffico HTTP dannoso. Attraverso il posizionamento di una barriera di filtrazione tra il server bersagliato e l'aggressore, WAF è in grado di proteggere da attacchi come cross site forgery, cross site scripting e SQL injection. Ulteriori informazioni su WAF di Cloudflare.

    Come funziona un WAF DDOS

    Mitigazione degli attacchi DDoS

    Un metodo comunemente usato per interrompere un'applicazione Web è l'uso degli attacchi distributed denial-of-service o DDoS. Cloudflare mitiga gli attacchi DDoS attraverso una serie di strategie che includono interrompere il traffico di attacco volumetrico al nostro perimetro, e usare la nostra rete Anycast per instradare correttamente le richieste legittime senza perdita di servizio. Scopri come Cloudflare può aiutarti a proteggere una proprietà Web dagli attacchi DDoS.

    Animazione attacco DDoS Amplificazione DNS

    Sicurezza DNS - protezione DNSSEC

    Il Domain Name System o DNS è come l'elenco del telefono di Internet e rappresenta il modo in cui uno strumento Internet, come un browser, cerca il server giusto. I soggetti ostili cercheranno di dirottare il processo di richiesta DNS attraverso il DNS Cache Poisoning, gli attacchi man-in-the-middle e altri metodi con cui interferire nel ciclo di vita delle ricerche DNS. Se DNS è l'elenco telefonico di Internet, allora DNSSEC ne è l'ID chiamante non falsificabile. Scopri come puoi proteggere una ricerca DNS utilizzando Cloudflare.

  • Common Threats
  • Attacco man-in-the-middle
  • Attacco brute-force
  • Overflow del buffer
  • Cross-Site Scripting
  • Cross-Site Request Forgery
  • SQL Injection
  • Attacco "ingegneria sociale"
  • Attacco KRACK
  • Glossary
  • Data Breach
  • OWASP Top Ten
  • Meltdown/Spectre
  • Malicious Payload
  • Penetration Testing
  • What is a Firewall?
  • What is Swatting?
  • What is BGP?
  • BGP Hijacking
  • Perché usare HTTPS?
  • Hijack del DNS globale

Sicurezza delle applicazioni Web

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Imparare i concetti base della sicurezza delle applicazioni Web
  • Esplorare vulnerabilità/sfruttamenti comuni delle app Web
  • Capire quali sono i metodi comuni di mitigazione delle minacce

Argomenti correlati

Cos'è una violazione dei dati?

Attacco man-in-the-middle

Overflow del buffer

SQL Injection

Perché usare HTTPS?

Che cos'è la sicurezza delle applicazioni Web?

Sicurezza delle applicazioni Web

La sicurezza delle applicazioni Web è un componente centrale di ogni impresa basata sul Web. La natura globale di Internet espone le proprietà Web agli attacchi da diversi punti e a diversi livelli di portata e complessità. La sicurezza applicazione Web si occupa specificatamente della sicurezza dei siti Web, delle applicazioni Web e dei servizi Web come le API.

Quali sono alcune delle vulnerabilità comuni nella sicurezza delle applicazioni Web?

Gli attacchi contro le app Web variano da manipolazioni di database mirati alle interruzioni di rete su larga scala. Vediamo alcuni dei comuni metodi di attacco o "vettori" che sono usati più frequentemente.

  • Cross site scripting o XSS: XSS è una vulnerabilità che consente a un aggressore di inserire degli script del lato cliente in una pagina Web per riuscire ad accedere direttamente a delle informazioni importanti, per impersonare l'utente o ingannare l'utente e farsi rivelare informazioni importanti.
  • SQL injection o SQi: SQi è un metodo secondo il quale un aggressore sfrutta le vulnerabilità del modo in cui un database esegue le query di ricerca. Gli aggressori usano SQi per ottenere l'accesso alle informazioni non autorizzate, modificare o creare nuove autorizzazioni utente o comunque manipolare o distruggere i dati sensibili.
  • Attacchi Denial-of-service o DoS e distributed Denial-of-Service o DDoS: attraverso una gamma di vettori, gli aggressori sono in grado di sovraccaricare un server preso di mira o la relativa infrastruttura circostante con diversi tipi di traffico di attacco. Quando un server non è più in grado di elaborare in modo efficace le richieste in arrivo, comincia a comportarsi in modo lento e finisce per negare il servizio alle richieste in arrivo da utenti legittimi.
  • Danneggiamento della memoria: il danneggiamento della memoria si verifica quando un punto della memoria viene modificato non intenzionalmente, con il risultato che il software potrebbe comportarsi in modo inaspettato. I soggetti ostili cercheranno di identificare e sfruttare i danni alla memoria attraverso cose come diffusione di codice o attacchi di overflow del buffer.
  • Overflow del buffer: l'overflow del buffer è un'anomalia che si verifica quando si scrivono dei dati in uno spazio definito della memoria conosciuto come buffer. La conseguenza del sovraccaricare la capacità del buffer è che aree di memoria adiacenti vengono sovrascritte. È possibile sfruttare questo comportamento per diffondere codice dannoso nella memoria, potenzialmente creando una vulnerabilità nella macchina bersagliata.
  • Cross-site request forgery o CSRF: la cosiddetta CSRF, o richiesta intersito falsa, comporta ingannare una vittima e farle fare una richiesta che ne utilizza l'autenticazione o autorizzazione. Sfruttando i privilegi dell'account di un utente, un aggressore è in grado di inviare una richiesta facendo finta di essere l'utente stesso. Una volta che l'account dell'utente è stato compromesso, l'aggressore può rimuovere, distruggere o modificare le informazioni importanti. Gli account con privilegi elevati, come quelli di amministratori o dirigenti, sono spesso presi di mira.
  • Violazione dei dati: è diversa dai vettori di attacco specifici. La violazione dei dati è un termine generico che si riferisce al rilascio di informazioni riservate o sensibili e può verificarsi attraverso azioni dannose o per errore. L'ambito in cui debba ricadere una violazione di dati è piuttosto ampio e potrebbe andare da qualche dato prezioso fino a milioni di account utente esposti.

Quali sono le migliori prassi da adottare per mitigare le vulnerabilità?

Alcune delle misure importanti nel proteggere le app Web dallo sfruttamento includono l'utilizzo di crittografia aggiornata, richiedere un'autenticazione idonea, aggiornare le patch per le vulnerabilità scoperte in modo continuo e avere delle buone prassi nello sviluppo del software. La verità è che gli aggressori intelligenti potrebbero riuscire a trovare delle vulnerabilità persino in un ambiente con una sicurezza robusta, quindi si consiglia un approccio olistico alla strategia di sicurezza.

La sicurezza delle applicazioni Web può essere migliorata proteggendosi dagli attacchi DDoS, al livello applicativo e DNS:

WAF - Protezione dagli attacchi al livello applicativo

Un Web Application Firewall o WAF aiuta a proteggere un'applicazione Web dal traffico HTTP dannoso. Attraverso il posizionamento di una barriera di filtrazione tra il server bersagliato e l'aggressore, WAF è in grado di proteggere da attacchi come cross site forgery, cross site scripting e SQL injection. Ulteriori informazioni su WAF di Cloudflare.

Come funziona un WAF DDOS

Mitigazione degli attacchi DDoS

Un metodo comunemente usato per interrompere un'applicazione Web è l'uso degli attacchi distributed denial-of-service o DDoS. Cloudflare mitiga gli attacchi DDoS attraverso una serie di strategie che includono interrompere il traffico di attacco volumetrico al nostro perimetro, e usare la nostra rete Anycast per instradare correttamente le richieste legittime senza perdita di servizio. Scopri come Cloudflare può aiutarti a proteggere una proprietà Web dagli attacchi DDoS.

Animazione attacco DDoS Amplificazione DNS

Sicurezza DNS - protezione DNSSEC

Il Domain Name System o DNS è come l'elenco del telefono di Internet e rappresenta il modo in cui uno strumento Internet, come un browser, cerca il server giusto. I soggetti ostili cercheranno di dirottare il processo di richiesta DNS attraverso il DNS Cache Poisoning, gli attacchi man-in-the-middle e altri metodi con cui interferire nel ciclo di vita delle ricerche DNS. Se DNS è l'elenco telefonico di Internet, allora DNSSEC ne è l'ID chiamante non falsificabile. Scopri come puoi proteggere una ricerca DNS utilizzando Cloudflare.

To provide you with the best possible experience on our website, we may use cookies, as described here.
By clicking accept, closing this banner, or continuing to browse our websites, you consent to the use of such cookies.