Sicurezza delle Applicazioni Web: Vulnerabilità, Attacchi e Strategie di Difesa

Security applied to web applications is a very important topic in the general field of cybersecurity, an area that I had the opportunity to study during my participation in the "CyberChallenge" competition. This thesis focuses on analyzing three of the most common web vulnerabilities: SQL Injection, Cross-Site Scripting (XSS) and Cross-Site Request Forgery (CSRF), with both a theoretical and above all practical approach, developed directly through various exercises provided for in the program. Through practical simulations, guided by theoretical explanations, some exploit techniques used by attackers to exploit these vulnerabilities and some of the most effective and commonly used defense strategies are illustrated. The importance of adopting a proactive approach in the field of web application protection is also highlighted, which I had the opportunity to experiment during the various simulations in real attack and defense scenarios in a competitive environment. In this work, the aim is therefore also to show how practical training and even competitions can be useful to accelerate the development of fundamental skills in the cybersecurity field.

La sicurezza applicata alle applicazioni web è un tema molto importante nel campo generale della cybersecurity, un ambito che ho avuto l'opportunità e il piacere di approfondire durante la mia partecipazione alla competizione "CyberChallenge". Questa tesi si concentra infatti sull'analizzare tre delle vulnerabilità web più comuni: SQL Injection, Cross-Site Scripting (XSS) e Cross-Site Request Forgery (CSRF), con un approccio sia di tipo teorico ma sopratutto anche pratico, sviluppato direttamente attraverso diverse esercitazioni previste del programma. Attraverso simulazioni pratiche, guidate da spiegazioni teoriche, vengono infatti illustrate alcune tecniche di exploit utilizzate dagli atttaccanti per sfruttare queste vulnerabilità e alcune tra le strategie di difesa più efficaci e comunemente utilizzate. Viene anche messa in risalto l'importanza di adottare un approccio di tipo proattivo nell'ambito della protezione delle applicazioni web, che ho avuto modo di sperimentare durante le varie simulazioni in scenari reali di attacco e difesa in un abmiente competitivo. In questo lavoro l'obiettivo è quindi anche quello di mostrare come la formazione pratica e anche le competizioni possano essere utili per accelerare lo sviluppo di competenze fondamentali in ambito cybersecurity.