O OWASP Top 10 é um amplo consenso sobre os riscos de segurança mais alarmantes para as aplicações Web. A atualização de 2021 fornece orientações que ajudam a proteger as aplicações e arquiteturas modernas da Web contra brechas, abusos e má configuração, bem como recomendações para mitigar novos riscos que envolvam cadeias de fornecimento de software, pipelines de CI/CD e software de código aberto.
Assista ao OWASP Top 10 para 2021 — Série de lições no Lightboard, na F5 DevCentral, e veja em detalhes o novo OWASP Top 10 e aprenda:
O Open Web Application Security Project (OWASP) é uma fundação sem fins lucrativos que trabalha para melhorar a segurança do software. Ele mantém vários projetos, incluindo o documento de conscientização padrão “Top 10 riscos de segurança de aplicações da Web” para programadores e profissionais de segurança.
Das aplicações testadas, 94% mostraram alguma forma de controle de acesso desfeito. As falhas podem acabar levando à divulgação não autorizada, modificação ou destruição de dados, e escalonamento de privilégios, além de account takeover (ATO), violação de dados, multas e danos à marca.
As falhas criptográficas, anteriormente conhecidas como “Exposição de dados confidenciais”, levam à exposição de dados confidenciais e à invasão das sessões de usuários. Apesar da adoção generalizada do TLS 1.3, protocolos antigos e vulneráveis ainda continuam ativos.
A injeção é uma ampla classe de vetores de ataque em que uma entrada não confiável altera a execução do programa da aplicação, podendo levar ao roubo de dados, perda da integridade de dados, negação de serviço e total comprometimento do sistema. A injeção já não representa o maior risco, mas não deixa de ser considerável.
As configurações de segurança incorretas são uma das principais fontes de violações na nuvem. Aprenda o que fazer e evitar — como o desenvolvimento de aplicações modernas, reuso de software e expansão de arquitetura entre as nuvens aumenta essa risco.
É fundamental confirmar a identidade e usar uma sólida autenticação e gerenciamento de sessão para se proteger contra a violação da lógica empresarial. A maioria dos ataques de autenticação segue o uso contínuo de senhas. Credenciais comprometidas, botnets e ferramentas sofisticadas oferecem um ROI atraente para ataques automatizados como o ataque de credential stuffing.
Esta nova categoria de risco tem como foco fazer suposições relacionadas a atualizações de software, dados críticos e pipelines de CI/CD sem verificar a integridade. O ataque da cadeia de fornecimento SolarWinds é um dos mais prejudiciais já vistos.
Sem o registro e monitoramento adequados das atividades da aplicação, não é possível detectar as violações. Isso afeta diretamente a visibilidade, o alerta de incidentes e a perícia. Quanto mais tempo um hacker passar despercebido, maior é a probabilidade do sistema ser corrompido.
As violações de SSRF ocorrem quando uma aplicação da Web busca um recurso remoto sem validar o URL fornecido pelo usuário. Os invasores podem coagir a aplicação a enviar uma solicitação a um destino inesperado, mesmo que seja protegido por uma firewall, VPN ou outra lista de controle de acesso à rede (ACL).