2021 OWASP Top 10 Video Series

John começa por explicar o que é o OWASP Top 10. Ele destaca temas como a reorientação do risco em torno dos sinais e causas-raiz, novas categorias de risco e arquiteturas modernas de aplicações. Em seguida, é exibido um vídeo sobre cada um dos 10 principais riscos.

Das aplicações testadas, 94% mostraram alguma forma de controle de acesso desfeito. As falhas podem acabar levando à divulgação não autorizada, modificação ou destruição de dados, e escalonamento de privilégios, além de account takeover (ATO), violação de dados, multas e danos à marca.

As falhas criptográficas, anteriormente conhecidas como “Exposição de dados confidenciais”, levam à exposição de dados confidenciais e à invasão das sessões de usuários. Apesar da adoção generalizada do TLS 1.3, protocolos antigos e vulneráveis ainda continuam ativos.

A injeção é uma ampla classe de vetores de ataque em que uma entrada não confiável altera a execução do programa da aplicação, podendo levar ao roubo de dados, perda da integridade de dados, negação de serviço e total comprometimento do sistema. A injeção já não representa o maior risco, mas não deixa de ser considerável.

A segurança deve ser inerente às aplicações. Um design seguro pode ainda ter defeitos de implementação que provoquem vulnerabilidades. Já um design inseguro não pode ser corrigido pela implementação absoluta.

As configurações de segurança incorretas são uma das principais fontes de violações na nuvem. Aprenda o que fazer e evitar — como o desenvolvimento de aplicações modernas, reuso de software e expansão de arquitetura entre as nuvens aumenta essa risco.

As brechas de software de código aberto estão por detrás de muitos dos maiores incidentes de segurança. A recente vulnerabilidade Log4j2 é possivelmente o risco mais grave nesta categoria até hoje.

É fundamental confirmar a identidade e usar uma sólida autenticação e gerenciamento de sessão para se proteger contra a violação da lógica empresarial. A maioria dos ataques de autenticação segue o uso contínuo de senhas. Credenciais comprometidas, botnets e ferramentas sofisticadas oferecem um ROI atraente para ataques automatizados como o ataque de credential stuffing.

Esta nova categoria de risco tem como foco fazer suposições relacionadas a atualizações de software, dados críticos e pipelines de CI/CD sem verificar a integridade. O ataque da cadeia de fornecimento SolarWinds é um dos mais prejudiciais já vistos.