OWASP Top 10 para 2021 — Série de vídeo de lições no Lightboard
Proteja suas aplicações da Web contra riscos novos e alarmantes
O OWASP Top 10 é um amplo consenso sobre os riscos de segurança mais alarmantes para as aplicações Web. A atualização de 2021 fornece orientações que ajudam a proteger as aplicações e arquiteturas modernas da Web contra brechas, abusos e má configuração, bem como recomendações para mitigar novos riscos que envolvam cadeias de fornecimento de software, pipelines de CI/CD e software de código aberto.
Assista ao OWASP Top 10 para 2021 — Série de lições no Lightboard, na F5 DevCentral, e veja em detalhes o novo OWASP Top 10 e aprenda:
- Como o OWASP cria a sua lista dos 10 principais riscos de segurança mais críticos para as aplicações Web.
- Principais mudanças para 2021, incluindo a recategorização do risco para alinhar os sinais às causas-raiz.
- Quando cada risco pode vir a ocorrer, por que é importante e como melhorar a sua postura de segurança.
O Open Web Application Security Project (OWASP) é uma fundação sem fins lucrativos que trabalha para melhorar a segurança do software. Ele mantém vários projetos, incluindo o documento de conscientização padrão “Top 10 riscos de segurança de aplicações da Web” para programadores e profissionais de segurança.
Visão geral do OWASP Top 10
John começa por explicar o que é o OWASP Top 10. Ele destaca temas como a reorientação do risco em torno dos sinais e causas-raiz, novas categorias de risco e arquiteturas modernas de aplicações. Em seguida, é exibido um vídeo sobre cada um dos 10 principais riscos.
OWASP Top 10 para 2021: controle de acesso desfeito
Das aplicações testadas, 94% mostraram alguma forma de controle de acesso desfeito. As falhas podem acabar levando à divulgação não autorizada, modificação ou destruição de dados, e escalonamento de privilégios, além de account takeover (ATO), violação de dados, multas e danos à marca.
OWASP Top 10 para 2021: falhas criptográficas
As falhas criptográficas, anteriormente conhecidas como “Exposição de dados confidenciais”, levam à exposição de dados confidenciais e à invasão das sessões de usuários. Apesar da adoção generalizada do TLS 1.3, protocolos antigos e vulneráveis ainda continuam ativos.
OWASP Top 10 para 2021: injeção
A injeção é uma ampla classe de vetores de ataque em que uma entrada não confiável altera a execução do programa da aplicação, podendo levar ao roubo de dados, perda da integridade de dados, negação de serviço e total comprometimento do sistema. A injeção já não representa o maior risco, mas não deixa de ser considerável.
OWASP Top 10 para 2021: design inseguro
A segurança deve ser inerente às aplicações. Um design seguro pode ainda ter defeitos de implementação que provoquem vulnerabilidades. Já um design inseguro não pode ser corrigido pela implementação absoluta.
OWASP Top 10 para 2021: configurações de segurança incorretas
As configurações de segurança incorretas são uma das principais fontes de violações na nuvem. Aprenda o que fazer e evitar — como o desenvolvimento de aplicações modernas, reuso de software e expansão de arquitetura entre as nuvens aumenta essa risco.
OWASP Top 10 para 2021: elementos vulneráveis e ultrapassados
As brechas de software de código aberto estão por detrás de muitos dos maiores incidentes de segurança. A recente vulnerabilidade Log4j2 é possivelmente o risco mais grave nesta categoria até hoje.
OWASP Top 10 para 2021: falhas de identificação e autenticação
É fundamental confirmar a identidade e usar uma sólida autenticação e gerenciamento de sessão para se proteger contra a violação da lógica empresarial. A maioria dos ataques de autenticação segue o uso contínuo de senhas. Credenciais comprometidas, botnets e ferramentas sofisticadas oferecem um ROI atraente para ataques automatizados como o ataque de credential stuffing.
OWASP Top 10 para 2021: falhas na integridade de dados e de software
Esta nova categoria de risco tem como foco fazer suposições relacionadas a atualizações de software, dados críticos e pipelines de CI/CD sem verificar a integridade. O ataque da cadeia de fornecimento SolarWinds é um dos mais prejudiciais já vistos.
OWASP Top 10 para 2021: falhas de monitoramento e registro de segurança
Sem o registro e monitoramento adequados das atividades da aplicação, não é possível detectar as violações. Isso afeta diretamente a visibilidade, o alerta de incidentes e a perícia. Quanto mais tempo um hacker passar despercebido, maior é a probabilidade do sistema ser corrompido.
OWASP Top 10 para 2021: Server Side Request Forger
As violações de SSRF ocorrem quando uma aplicação da Web busca um recurso remoto sem validar o URL fornecido pelo usuário. Os invasores podem coagir a aplicação a enviar uma solicitação a um destino inesperado, mesmo que seja protegido por uma firewall, VPN ou outra lista de controle de acesso à rede (ACL).