Top 10 OWASP: Exemplos Práticos com Ferramentas Gratuitas

Status atual do projeto em setembro de 2024:

• Estamos planejando anunciar o lançamento do OWASP Top 10:2025 no primeiro semestre de 2025.
• Coleta de dados (agora – dezembro de 2024) : doe as estatísticas de teste de penetração do seu aplicativo.

Fique atento!

O OWASP Top 10 é um documento padrão de conscientização para desenvolvedores e segurança de aplicações web. Ele representa um amplo consenso sobre os riscos de segurança mais críticos para aplicações web.

Reconhecido mundialmente pelos desenvolvedores como o primeiro passo para uma codificação mais segura.

As empresas devem adotar este documento e iniciar o processo para garantir que suas aplicações web minimizem esses riscos. Utilizar o OWASP Top 10 é talvez o primeiro passo mais eficaz para mudar a cultura de desenvolvimento de software em sua organização para uma que produza código mais seguro.

Os 10 principais riscos de segurança em aplicativos da Web

Há três novas categorias, quatro categorias com mudanças de nomenclatura e escopo e alguma consolidação no Top 10 de 2021.

• A01:2021 – Controle de Acesso Quebrado sobe da quinta posição; 94% dos aplicativos foram testados para alguma forma de controle de acesso quebrado. As 34 Enumerações de Fraquezas Comuns (CWEs) mapeadas para Controle de Acesso Quebrado tiveram mais ocorrências em aplicativos do que qualquer outra categoria.
• A02:2021 – Falhas Criptográficas sobe uma posição para o segundo lugar, anteriormente conhecido como Exposição de Dados Sensíveis, que era um sintoma geral e não a causa raiz. O foco renovado aqui está nas falhas relacionadas à criptografia, que frequentemente levam à exposição de dados sensíveis ou ao comprometimento do sistema.
• A03:2021-Injeção cai para a terceira posição. 94% das aplicações foram testadas para alguma forma de injeção, e os 33 CWEs mapeados nesta categoria têm o segundo maior número de ocorrências em aplicações. Cross-site scripting agora faz parte desta categoria nesta edição.
• A04:2021 – Design Inseguro é uma nova categoria para 2021, com foco em riscos relacionados a falhas de design. Se realmente quisermos “ir para a esquerda” como indústria, isso exigirá maior uso de modelagem de ameaças, padrões e princípios de design seguro e arquiteturas de referência.
• A05:2021 – Configuração incorreta de segurança sobe da 6ª posição na edição anterior; 90% dos aplicativos foram testados para algum tipo de configuração incorreta. Com mais mudanças para softwares altamente configuráveis, não é surpresa que esta categoria suba. A antiga categoria para Entidades Externas XML (XXE) agora faz parte desta categoria.
• A categoria A06:2021-Componentes Vulneráveis ​​e Desatualizados, anteriormente intitulada “Usando Componentes com Vulnerabilidades Conhecidas”, ocupa o segundo lugar na pesquisa da comunidade Top 10, mas também possui dados suficientes para figurar no Top 10 por meio de análise de dados. Esta categoria subiu da 9ª posição em 2017 e é um problema conhecido cujo risco temos dificuldade em testar e avaliar. É a única categoria que não possui nenhuma Vulnerabilidade e Exposição Comum (CVE) mapeada para as CWEs incluídas, portanto, uma exploração padrão e pesos de impacto de 5,0 são considerados em suas pontuações.
• A07:2021 – Falhas de Identificação e Autenticação era anteriormente Autenticação Quebrada e está caindo da segunda posição, passando a incluir CWEs mais relacionadas a falhas de identificação. Esta categoria ainda é parte integrante do Top 10, mas a maior disponibilidade de estruturas padronizadas parece estar ajudando.
• A08:2021 – Falhas de Integridade de Software e Dados é uma nova categoria para 2021, com foco em suposições relacionadas a atualizações de software, dados críticos e pipelines de CI/CD sem verificação de integridade. Um dos impactos mais ponderados vem dos dados do Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) mapeados para os 10 CWEs nesta categoria. A Desserialização Insegura de 2017 agora faz parte desta categoria maior.
• A categoria A09:2021 – Falhas no Registro e Monitoramento de Segurança era anteriormente Registro e Monitoramento Insuficientes e foi adicionada na pesquisa do setor (nº 3), subindo da posição 10 anterior. Esta categoria foi expandida para incluir mais tipos de falhas, é difícil de testar e não está bem representada nos dados CVE/CVSS. No entanto, falhas nesta categoria podem impactar diretamente a visibilidade, os alertas de incidentes e a análise forense.
• A10:2021-Server-Side Request Forgery foi adicionado da pesquisa da comunidade Top 10 (nº 1). Os dados mostram uma taxa de incidência relativamente baixa, com cobertura de testes acima da média, além de classificações acima da média para Exploit e Potencial de Impacto. Esta categoria representa o cenário em que os membros da comunidade de segurança nos dizem que isso é importante, embora não esteja ilustrado nos dados neste momento.