OWASP Italy Meetup – Fall 2024

Gli OWASP Meetup sono uno dei tradizionali appuntamenti che il promuove come momento di approfondimento e di condivisione di problemi e soluzioni all’interno della community OWASP Italiana.

I temi affrontati nel corso di questo meetup includono:

• OWASP 5D Framework, che consente di valutare il livello di maturità delle pratiche di sicurezza di un team di sviluppo e utilizzando il framework come guida per il miglioramento continuo.

• OWASP Top 10 for Large Language Model Applications, che si propone di identificare i 10 principali rischi per la sicurezza durante l'implementazione e la gestione di Large Language Models (LLM). Il progetto fornisce un elenco delle 10 vulnerabilità più critiche spesso riscontrate nelle applicazioni LLM, evidenziandone l'impatto potenziale, la facilità di sfruttamento e la prevalenza nelle applicazioni reali. Tra gli esempi di vulnerabilità vi sono le iniezioni di prompt, la fuga di dati, il sandboxing inadeguato e l'esecuzione di codice non autorizzato. L'obiettivo è quello di aumentare la consapevolezza di queste vulnerabilità, suggerire strategie di rimedio e, in ultima analisi, migliorare la sicurezza delle applicazioni LLM.

• HTTP Request Smuggling, ovvero una tecnica di attacco che consente di interferire con il processamento delle sequenze di richieste HTTP che un server riceve da più utenti. Vedremo come sfruttare le vulnerabilità nella gestione delle richieste HTTP per manipolare il flusso di dati tra server, con conseguenze potenzialmente devastanti, e le cause da cui insorgono queste problematiche. Analizzeremo tecniche avanzate, casi di studio reali e discuteremo le migliori pratiche per proteggere le tue applicazioni web da queste minacce invisibili.

• Davide Ariu – Co-chair del Chapter Italiano di OWASP, negli ultimi 20 anni ha avuto il privilegio di potersi occupare di cyber security da tutti i punti di vista: prima come ricercatore e docente all’Università di Cagliari, presso la quale ha conseguito il titolo di Dottore di Ricerca e un Post-Doc e come visiting student presso il Georgia Tech Information Security Center di Atlanta. Poi, come R&D manager nell’ambito di circa 20 progetti di ricerca finanziati da parte della Commissione Europea nell’ambito dei propri Work-Programme, tra cui il progetto APPtake (https://www.apptake.eu) di cui è coordinatore. Dal 2015 è co-fondatore e CEO di PLURIBUS ONE, azienda specializzata sulla sicurezza applicativa. Scrive di Sicurezza Applicativa nello spazio “UNBOXED APPSEC” (http://davideariu.substack.com).

• Federico Loi - Software Security Consultant @ IMQ Minded Security, si occupa di progetti di penetration testing in ambiti Web, Mobile e Secure Code Review. Giocatore e creatore di competizioni Capture the Flag con il team Srdnlen. Svolge e porta avanti progetti di ricerca in ambito Web. Con una solida esperienza accademica, Federico ha ricoperto in passato il ruolo di Malware Analyst Researcher approfondendo le tecniche di analisi contro le minacce informatiche.

• Fabio Marotta - Junior Cyber Security Specialist @ Pluribus One, esegue valutazioni di sicurezza delle applicazioni web per i clienti, ed è coinvolto nelle attività di sviluppo di software interne all’azienda. Ha iniziato il suo percorso accademico nel 2018, studiando ingegneria informatica, e dal 2021, è attivamente coinvolto presso l’Università di Cagliari nel programma CyberChallenge.it, promosso dal CINI - Consorzio Interuniversitario per l’Informatica e da ACN - Agenzia per la Cybersicurezza Nazionale, all’interno del quale ha vinto nello stesso anno sia la competizione locale che quella nazionale. A valle della partecipazione ha continuato a contribuire e contribuisce tuttoggi al programma in veste di istruttore, essendo responsabile della formazione all’interno dell’Università di Cagliari.

L'Open Worldwide Application Security Project (OWASP) è una fondazione no-profit che lavora per migliorare la sicurezza del software, rappresentando di fatto la community di riferimento a livello mondiale per tutti i temi collegati alla progettazione, sviluppo, e protezione del software.

Le attività della OWASP Foundation, rese possibile grazie al supporto di decine di migliaia di membri, includono:

• progetti open source gestiti dalla comunità, tra cui codice, documentazione e standard.

• la promozione delle proprie attività in ambito locale, tramite oltre 250 capitoli locali in tutto il mondo;

• Conferenze educative e formative con interventi da parte dei leader del settore.

La Fondazione OWASP è stata lanciata il 1° dicembre 2001 ed è stata costituita come associazione no-profit negli Stati Uniti il 21 aprile 2004.

Il chapter Italiano di OWASP, istituito nel 2002 da Matteo Meucci che ancora ricopre il ruolo di co-chair, si pone l’obiettivo di promuovere I progetti e le attività della foundation sul territorio Italiano, attraverso l’organizzazione di OWASP Day e Meetup e il patrocinio e la partecipazione ad eventi di terze parti.

Host or Publisher The Net Value