segurança Top 10 OWASP

[Jefferson Lautenschlager]

Em busca de um produto mais seguro, hoje podemos encontrar várias informações na web, dentre elas temos a Owasp. Uma comunidade online que cria e disponibiliza documentação, ferramentas e tecnologias voltados à segurança das aplicações web. Também podemos contar com uma lista das principais vulnerabilidades encontradas na internet. 

Top 10 OWASP

O OWASP Top 10 é um documento de conscientização padrão para desenvolvedores e segurança de aplicativos da web. Ele representa um amplo consenso sobre os riscos de segurança mais críticos para aplicativos da web.

Os 10 principais riscos de segurança de aplicativos da Web

Existem três novas categorias, quatro categorias com mudanças de nomenclatura e escopo e alguma consolidação no Top 10 para 2021.

A01:2021-O controle de acesso quebrado sobe da quinta posição; 94% dos aplicativos foram testados para alguma forma de controle de acesso quebrado. As 34 Enumerações de Fraquezas Comuns (CWEs) mapeadas para Controle de Acesso Quebrado tiveram mais ocorrências em aplicativos do que qualquer outra categoria.

A02:2021-As falhas criptográficas sobem uma posição para a 2ª posição, anteriormente conhecida como Exposição de Dados Sensíveis, que era um sintoma amplo e não uma causa raiz. O foco renovado aqui está nas falhas relacionadas à criptografia, que geralmente levam à exposição de dados confidenciais ou ao comprometimento do sistema.

A03:2021-A injeção desliza para a terceira posição. 94% dos aplicativos foram testados para alguma forma de injeção, e os 33 CWEs mapeados nesta categoria têm o segundo maior número de ocorrências em aplicativos. Cross-site Scripting agora faz parte desta categoria nesta edição.

A04:2021-Design inseguro é uma nova categoria para 2021, com foco em riscos relacionados a falhas de projeto. Se realmente queremos “ir para a esquerda” como um setor, isso exige mais uso de modelagem de ameaças, padrões e princípios de design seguros e arquiteturas de referência.

A05:2021-Configuração incorreta de segurança subiu do 6º lugar na edição anterior; 90% dos aplicativos foram testados para algum tipo de configuração incorreta. Com mais mudanças em software altamente configurável, não é surpreendente ver essa categoria subir. A antiga categoria para XML External Entities (XXE) agora faz parte desta categoria.

A06:2021-Vulnerable and Outdated Components foi anteriormente intitulado Using Components with Known Vulnerabilities e é o número 2 na pesquisa da comunidade Top 10, mas também tinha dados suficientes para entrar no Top 10 por meio de análise de dados. Essa categoria subiu do 9º lugar em 2017 e é um problema conhecido que lutamos para testar e avaliar o risco. É a única categoria a não ter nenhuma Vulnerabilidade e Exposições Comuns (CVEs) mapeadas para os CWEs incluídos, portanto, uma exploração padrão e pesos de impacto de 5,0 são considerados em suas pontuações.

A07:2021-As falhas de identificação e autenticação eram anteriormente a autenticação quebrada e está deslizando para baixo da segunda posição e agora inclui CWEs que estão mais relacionados a falhas de identificação. Essa categoria ainda é parte integrante do Top 10, mas a maior disponibilidade de estruturas padronizadas parece estar ajudando.

A08:2021-Software and Data Integrity Failures é uma nova categoria para 2021, com foco em fazer suposições relacionadas a atualizações de software, dados críticos e pipelines de CI/CD sem verificar a integridade. Um dos impactos mais ponderados dos dados do Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) mapeados para os 10 CWEs nesta categoria. A desserialização insegura de 2017 agora faz parte dessa categoria maior.

A09:2021-As falhas de registro e monitoramento de segurança eram anteriormente Registro e monitoramento insuficientes e são adicionadas a partir da pesquisa do setor (nº 3), passando do número 10 anteriormente. Essa categoria é expandida para incluir mais tipos de falhas, é difícil de testar e não está bem representada nos dados CVE/CVSS. No entanto, falhas nesta categoria podem afetar diretamente a visibilidade, alertas de incidentes e perícia.

A10:2021-Server-Side Request Forgery é adicionado da pesquisa da comunidade Top 10 (#1). Os dados mostram uma taxa de incidência relativamente baixa com cobertura de teste acima da média, juntamente com classificações acima da média para potencial de exploração e impacto. Esta categoria representa o cenário em que os membros da comunidade de segurança estão nos dizendo que isso é importante, embora não esteja ilustrado nos dados neste momento.

Fonte: https://owasp.org/www-project-top-ten/