OWASP Top 10: veja a lista atualizada das 10 vulnerabilidades
Você já ouviu falar em OWASP Top 10? Podemos adiantar que esse ranking é um parâmetro muito importante para seguir especialmente em tempos de LGPD e trabalho remoto.
Neste artigo, vamos apresentar os 10 tópicos que compõem o OWASP Top 10 de 2021, além de explicar o significado de OWASP. Sério, não dá para perder esta leitura por nada.
Para começo de conversa, vamos entender o conceito de OWASP?
O que é OWASP?
Antes de entendermos o que significa OWASP Top 10, é fundamental compreender o conceito de OWASP.
OWASP é a sigla de Open Web Application Security Project (em português, Projeto Aberto de Segurança em Aplicações Web), que representa uma comunidade global sem fins lucrativos fundada por Mark Curphey em setembro de 2001.
Composta por desenvolvedores, especialistas em segurança da informação e pesquisadores da área, o principal propósito do OWASP é diminuir vulnerabilidades de segurança na web.
Para concretizar esse objetivo, a entidade atua colaborativamente de forma a promover o fortalecimento da segurança de softwares no mundo todo.
Para isso, os profissionais envolvidos nessa iniciativa se mantêm abertos para trocas de conhecimentos e disponibilizam gratuitamente conteúdos educativos voltados especialmente à proteção de dados.
O principal feito dessa comunidade global é o ranking anual OWASP Top 10. E o que vem a ser esse ranking?
O OWASP Top 10 corresponde a uma listagem que elenca as falhas mais comuns, críticas e perigosas relacionadas ao desenvolvimento de projetos web.
É importante destacar que o OWASP é um projeto que começou despretensiosamente, mas, ao longo do tempo, devido à sua qualidade e utilidade, tornou-se um importante parâmetro reconhecido globalmente.
É a ele que desenvolvedores que querem se proteger contra ameaças ao ambiente virtual recorrem.
Os principais benefícios que o OWASP traz para empresas e profissionais de TI são:
- Contribui para a proteção das APIs contra possíveis ataques cibernéticos;
- Auxilia na criação de uma criptografia mais forte;
- Favorece a diminuição de falhas operacionais nos sistemas;
- Aumenta a possibilidade de êxito das APIs;
- Melhora a reputação da empresa que desenvolveu determinado app.
Agora, sim, vamos conhecer a lista atualizada com as 10 principais vulnerabilidades do OWASP, o OWASP Top 10 de 2021.
OWASP Top 10 de 2021: conheça a lista atualizada
Desde já, vale deixar registrado que, para conferir todos os detalhes aprofundados do OWASP, vale a pena visitar o site da organização.
A partir de agora, você confere o que mudou com o OWASP Top 10 2021.
A01: 2021 — Quebra de controle de acesso
Subiu da quinta para a primeira posição no ranking OWASP Top 10. Foram testadas 94% das aplicações, levando-se em conta alguma forma de comprometimento do controle de acesso.
Os 34 CWEs (Common Weakness Enumeration ou Enumeração de Fraquezas Comuns) mapeados para Quebra de controle de acesso tiveram maior incidência em aplicativos do que em outras categorias.
A02: 2021 — Falhas criptográficas
Subiu uma posição na lista, ocupando agora o segundo lugar. Antes recebia o nome de “Exposição de dados sensíveis”, que descrevia sintomas mais genéricos das vulnerabilidades, e não sua causa-raiz.
Agora o foco está nas falhas relacionadas à criptografia, que, em muitos casos, traz como consequências a exposição de dados confidenciais e o mau funcionamento do sistema.
A03: 2021 — Injeção
Desceu para a terceira posição. Novamente, 94% das APIs foram testadas — desta vez, para algum tipo de injeção.
Os 33 CWEs mapeados aqui têm o segundo maior número de ocorrências em aplicações (274.000 ocorrências).
Agora, Cross-Site Scripting (script entre sites) faz parte desta categoria nesta edição 2021.
A04: 2021 — Design inseguro
Esta é uma nova categoria e o foco aqui são os riscos relacionados a falhas de design.
Caso se queira verdadeiramente “mover para a esquerda (shift left)”, ou seja, trazer segurança para todas as etapas da aplicação (as fases iniciais ficam mais à esquerda do fluxo de desenvolvimento), e não só para os ciclos finais, é preciso usar mais modelagem de ameaças, padrões e princípios de design seguro e arquiteturas de referência.
A05: 2021 — Configuração insegura
Subiu uma posição em comparação à edição anterior. Para esta categoria, 90% dos apps foram testados para alguma forma de configuração insegura.
Com mais mudanças em softwares altamente configuráveis, é natural essa categoria subir.
A06: 2021 — Componentes desatualizados e vulneráveis
Anteriormente foi intitulado “Usar componente com vulnerabilidade conhecida” e é o segundo colocado nas pesquisas da comunidade Top 10.
Esta categoria representa um problema difícil de testar e avaliar os riscos, sendo a única a não ter Vulnerabilidades e Exposições Comuns (CVEs) mapeadas.
A07: 2021 — Quebra de identificação e autenticação
Antes era definida como “Falha de autenticação”, caiu da terceira posição para esta e agora inclui CWEs que estão relacionados a falhas de identificação.
Apesar de esta categoria ainda fazer parte do Top 10, a maior disponibilidade de frameworks (estruturas) padronizados parece estar ajudando a reduzir esse problema.
A08: 2021 — Falhas de software e de integridade de dados
Trata-se de uma nova categoria. O foco dela é fazer suposições relacionadas a atualizações de softwares, dados críticos e linhas de CI / CD (método para entregar aplicações com frequência aos clientes sem verificar a integridade).
A09: 2021 — Falhas de registro e monitoramento de segurança
Antes chamada de “Registro e monitoramento insuficientes”, essa categoria passou a incluir um maior número de falhas, sendo um desafio testar todas elas.
Porém, essas falhas podem impactar diretamente a visibilidade, o alerta de incidentes e a perícia das vulnerabilidades.
A10: 2021 — Falsificação de solicitação do lado do servidor
Os dados apresentam uma taxa de incidência dessa vulnerabilidade relativamente baixa.
Porém, a existência desta categoria nos mostra que os membros da comunidade de segurança estão sinalizando que é preciso estar atento a essa questão, ainda que os dados não apontem para isso no momento.
E assim vamos finalizando este post. Considerando os parâmetros de segurança descritos nessa lista, é interessante utilizá-la como guia para o desenvolvimento de aplicativos.
Depois de conhecer o OWASP Top 10, está em dúvida sobre qual caminho seguir para identificar as vulnerabilidades do sistema da sua empresa? Venha conhecer a solução de pentest da Witec.