©2022 - Todos os Direitos Reservados
Polìtica de Privacidade
Entrar em contato
OWASP TOP 10 Featured

OWASP top 10: lista atualizada das 10 vulnerabilidades mais comuns em aplicações

Equipe EcoTrust

8 min read
OWASP top 10: lista atualizada das 10 vulnerabilidades mais comuns em aplicações

Em um contexto de grandes riscos relacionados à segurança de aplicações, o ranking OWASP Top 10 é um excelente parâmetro a ser considerado.

São muitas as razões pelas quais a cibersegurança tem alcançado o topo da lista de prioridades dos gestores, e isso não inclui apenas as empresas que fornecem produtos ou serviços de tecnologia.

Dois bons motivos para essa preocupação são a vigência da Lei Geral de Proteção de Dados (LGPD) e a ascensão do trabalho remoto.

Vale lembrar que a Lei impõe regras para o tratamento de dados pessoais a serem seguidas por todas as empresas, independentemente de seu porte ou segmento de negócios.

Já o trabalho remoto está se tornando uma realidade também nas mais diversas categorias empresariais, criando a necessidade de estratégias eficientes para a proteção dos dados que circulam fora das dependências da empresa.

Isso sem falar na necessidade de redução das vulnerabilidades de segurança em virtude do mercado competitivo e da busca pela resiliência cibernética e continuidade do negócio.

É nesse contexto que o OWASP Top 10 representa um direcionamento com potencial para facilitar a elaboração da sua estratégia de segurança baseada em riscos.

Ao longo deste artigo, vamos explicar o que é OWASP Top 10 e apresentar cada um dos dez tópicos que compõem o ranking mais atualizado.

Aproveite a leitura e já comece a direcionar a sua estratégia de segurança com base nos riscos enfrentados pelo seu negócio.

O que é o OWASP Top 10?

Antes de explicar o que é OWASP Top 10, precisamos passar pela conceituação de OWASP.

Trata-se de uma sigla que significa Open Web Application Security Project, cuja tradução é Projeto Aberto de Segurança em Aplicações Web.

O projeto consiste na reunião de uma comunidade global sem fins lucrativos que foi fundada em 2001, pelo especialista em segurança da informação Mark Curphey.

Essa comunidade conta com desenvolvedores, pesquisadores e especialistas em segurança do mundo todo e tem a missão de reduzir as vulnerabilidades de segurança na web.

Para isso, o projeto busca formas de fortalecer a segurança de softwares em todo o mundo a partir de uma atuação colaborativa dos profissionais que compõem a comunidade.

Ou seja, os profissionais envolvidos na iniciativa promovem trocas de conhecimento e desenvolvem conteúdos educativos gratuitos focados principalmente na proteção de dados.

O OWASP Top 10 é um desses conteúdos e, entre as ações da OWASP, é o que ganhou maior alcance mundialmente.

Nesse contexto, podemos falar sobre o conceito de OWASP Top 10, que é um ranking publicado periodicamente pela OWASP.

O OWASP Top 10 corresponde a uma lista que reúne as 10 falhas mais comuns, perigosas ou críticas ligadas ao desenvolvimento de projetos web.

Essa publicação inicialmente não tinha grandes pretensões, mas tornou-se um parâmetro reconhecido mundialmente por conta de sua qualidade e utilidade para as empresas.

Desenvolvedores em busca de uma estratégia de proteção contra ameaças no ambiente virtual geralmente recorrem ao OWASP Top 10.

Entre os benefícios que o ranking representa para profissionais de TI e empresas em geral estão:

  • A contribuição para a proteção das APIs contra potenciais ciberataques;
  • O aumento das possibilidades de sucesso das APIs;
  • O auxílio no desenvolvimento de uma criptografia mais forte;
  • O favorecimento à redução de falhas operacionais nos sistemas;
  • A melhoria na reputação da empresa.

A publicação mais recente do OWASP Top 10 refere-se ao ano de 2021 e é sobre ela que vamos falar nos próximos tópicos. Vamos apresentar cada um dos dez componentes do ranking e explicar cada um deles.

OWASP Top 10: lista atualizada (2021)

Vamos abordar agora a lista das dez vulnerabilidades mais comuns em aplicações, de acordo com a versão mais atualizada do OWASP Top 10.

Para saber mais sobre o desenvolvimento da lista e as metodologias utilizadas pelos especialistas envolvidos, acesse o site do projeto OWASP Top 10.

Vamos ao ranking!

1: Quebra de controle de acesso

Essa vulnerabilidade estava em quinto lugar na última publicação do ranking OWASP Top 10 e subiu para a primeira colocação.

Trata-se, portanto, da vulnerabilidade que representa o risco de segurança mais grave atualmente para as aplicações web.

Esse tipo de vulnerabilidade indica que há riscos relacionados ao acesso a uma determinada aplicação por pessoas não autorizadas por conta de recursos utilizados pelos cibercriminosos para burlar o controle de acesso.

Na pesquisa realizada para elaborar a lista, foram encontradas uma ou mais enumerações de fraquezas comuns (Common Weakness Enumeration ou CWEs) em cerca de 3,81% dos aplicativos testados.

Foram identificados 34 tipos de enumerações de fraquezas comuns e detectadas mais de 318 mil ocorrências, em sua maioria presentes em aplicativos.

2: Falhas criptográficas

Mais uma vulnerabilidade que subiu no ranking OWASP Top 10. As falhas relacionadas à criptografia ocupavam a terceira posição na lista anterior.

O nome também mudou de um sintoma mais amplo para uma causa raiz. Anteriormente essa vulnerabilidade era chamada de Sensitive Data Exposure ou Exposição de Dados Confidenciais.

Agora fica mais claro que a categoria se concentra em falhas ligadas à criptografia, o que ficava implícito anteriormente.

A criptografia é considerada um recurso fundamental quando se pensa em segurança de dados, tanto no que diz respeito ao envio e recebimento de informações quanto quando o objetivo é o seu armazenamento.

Porém, não basta utilizar a  criptografia, é preciso ter garantias quanto a sua eficiência e o alcance do segundo lugar no ranking OWASP Top 10 mostra uma situação crítica.

As falhas na criptografia podem levar à exposição de dados confidenciais ou até mesmo ao comprometimento do sistema como um todo.

3: Injeção

Quando falamos em injeção no mundo dos aplicativos, a referência é a uma técnica de ataque que se baseia na manipulação de códigos, como ocorre com o SQL.

O SQL é um código utilizado para trocar informações entre aplicativos e bancos de dados relacionais. Assim, o cibercriminoso injeta uma entrada de cadeia de caracteres na aplicação e tenta manipular a instrução do código.

Isso pode prejudicar o banco de dados de diversas formas, culminando, inclusive, em negações de serviço.

A taxa máxima de incidência desse tipo de problema nos aplicativos testados para a elaboração da mais recente lista OWASP Top 10 é de 19% e a taxa média de 3,37%.

Dentro desta categoria, foram identificadas 33 enumerações de fraquezas comuns, com o segundo maior número de ocorrências em aplicativos (274 mil ocorrências).

O cross-site scripting ou script entre sites passou a fazer parte da categoria injeção nesta edição mais recente do OWASP Top 10.

4: Design inseguro

Esta é uma nova categoria considerada pelo OWASP Top 10 em sua versão de 2021 e tem foco nos riscos ligados a falhas de design.

Os resultados obtidos nas análises realizadas levaram à conclusão de que é necessário levar mais segurança ao desenvolvimento de todas as etapas da aplicação e não apenas para as etapas finais, ou seja, é preciso “mover-se para a esquerda”, já que as etapas iniciais ficam mais à esquerda no fluxo de desenvolvimento.

Para isso, são necessários mais padrões e princípios de design seguros, arquiteturas de referência e modelagem de ameaças.

Quando se tem um design inseguro em uma aplicação em funcionamento não é possível corrigi-lo por uma implementação perfeita, pois os controles de segurança, em tese, nunca foram criados.

Nesse sentido, a aplicação fica sem uma defesa robusta contra ataques específicos.

5: Configuração insegura

As vulnerabilidades relacionadas à configuração insegura subiram da sexta para a quinta posição no ranking OWASP Top 10.

Foram detectadas mais de 208 mil ocorrências de enumerações de fraquezas comuns para esta categoria de risco, com uma taxa média de incidência de 4,5% nos aplicativos testados.

A subida no ranking é justificada pelo aumento das mudanças em softwares altamente configuráveis que vem ocorrendo nos últimos anos.

É necessário, portanto, rever essa maleabilidade no que diz respeito às configurações para evitar os incidentes de segurança.

Outra mudança da categoria das configurações inseguras é a inclusão da antiga categoria de Entidades Externas, que agora é englobada por ela.

6: Componentes desatualizados e vulneráveis

Essa categoria do OWASP Top 10 era chamada anteriormente de “Uso de componentes com vulnerabilidades conhecidas” e ocupa o segundo lugar nas pesquisas da comunidade Top 10.

A categoria subiu do nono para o sexto lugar em relação ao ranking de 2017 e representa um risco complicado para testar e avaliar.

Trata-se da única categoria em que não foi mapeada nenhuma enumeração de fraquezas comuns.

Essa categoria chama a atenção para a falta de cuidado no que diz respeito à necessidade de atualizações periódicas para melhorar a segurança das aplicações.

Um componente que dificilmente representaria riscos hoje pode trazer muitos deles em um futuro próximo.

Sendo assim, é preciso considerar a evolução da tecnologia no momento do desenvolvimento das soluções.

7: Falhas de identificação e autenticação

Anteriormente, esta categoria do OWASP Top 10 era conhecida como “Autenticação quebrada” e caiu da segunda para a sétima posição do ranking.

A principal diferença é que agora ela também inclui enumerações de fraquezas comuns relacionadas às falhas de identificação.

A razão mais provável para sua queda no ranking é a maior disponibilidade de estruturas padronizadas, que tem ajudado a reduzir este problema.

Sendo assim, mesmo que essas falhas ainda façam parte do Top 10, a tendência é que ela continue caindo no ranking até deixar de integrá-lo.

Fica claro aqui, que o OWASP Top 10 não indica apenas situações alarmantes no desenvolvimento de aplicações. Há também as expectativas positivas relacionadas aos avanços de segurança da informação.

Trata-se, portanto, de um ótimo “termômetro” quando se compara os dados do último ranking, publicado em 2017 com os atuais.

8: Falhas de software e de integridade de dados

Esta é uma nova categoria introduzida no ranking OWASP Top 10 na publicação de 2021. Seu foco está nas suposições relacionadas a atualizações de software, dados críticos e pipelines de CI/CD (método de entrega das aplicações com frequência aos clientes) sem a verificação da integridade.

Seus impactos foram considerados ponderados já que foram mapeadas 10  enumerações de fraquezas comuns.

Essa categoria também inclui a “Desserialização insegura”, que fazia parte da lista até 2017.

Assim, como já foi possível perceber, as categorias não são imutáveis. Muitas delas são englobadas ou excluídas do escopo de outras a cada nova publicação da lista OWASP Top 10.

9: Falhas de registro e monitoramento de segurança

As falhas relacionadas ao registro e ao monitoramento de segurança ocupavam o décimo lugar no ranking OWASP Top 10 de 2017.

Elas eram chamadas de “Registro e monitoramento insuficientes” e agora foram expandidas para incluir outros tipos de falhas.

Trata-se de uma categoria difícil de testar que não está bem representada no que diz respeito às enumerações de fraquezas comuns.

Falhas nesta categoria podem afetar diretamente a visibilidade, a perícia e os alertas quanto aos incidentes de cibersegurança.

Ainda que esteja no nono lugar dentro da lista, esta é uma vulnerabilidade que merece atenção, já que as ações relacionadas ao monitoramento de segurança têm aumentado nos últimos anos.

Essas iniciativas precisam ganhar eficiência e o ranking está apontando um possível caminho a ser seguido neste sentido.

10: Falsificação de solicitação do lado do servidor

A partir das pesquisas realizadas para a divulgação da lista OWASP Top 10, pode-se concluir que a taxa de incidência dessa vulnerabilidade é relativamente baixa.

Foi obtida uma cobertura de teste acima da média com classificações também acima da média para o potencial de exploração e impacto.

Mesmo assim, a existência dessa categoria no Top 10 demonstra que os membros da comunidade de segurança estão dizendo que é preciso ficar atento a essa questão, ainda que os dados não mostrem uma necessidade urgente de direcionamento de esforços para combater essa vulnerabilidade.

Concluindo

Após a compreensão de cada um dos componentes do ranking OWASP Top 10 mais atual, é possível tomar esta lista como um guia para o desenvolvimento de aplicativos.

Fica claro que a melhor abordagem para investir em segurança cibernética é estabelecer uma estratégia de segurança baseada em riscos.

Por isso, além de manter-se atento às próximas atualizações do OWASP Top 10, convidamos você a ler outros conteúdos do blog relacionados a este tipo de estratégia. Você pode começar pelo artigo sobre gestão de riscos. Aproveite a leitura e até o próximo conteúdo.

Inscreva-se para mais como este.

Enter your email
Subscribe