OWASP TOP 10 – O que é?

Posted on By Level Two
Conceitos Técnicos

O OWASP TOP 10 é uma lista anual de vulnerabilidades de segurança mais críticas em aplicações web, mantida pela Open Web Application Security Project (OWASP). A lista ajuda a aumentar a conscientização sobre as principais vulnerabilidades de segurança que precisam ser tratadas para garantir a segurança do software.

A seguir, estão os 10 principais riscos de segurança web identificados na versão mais recente do OWASP TOP 10 (2021):

  1. Injeção
    É uma vulnerabilidade que permite que um invasor injete código malicioso em um aplicativo web. Essa vulnerabilidade pode permitir que o invasor assuma o controle total do aplicativo e dos dados (SQLi).
  2. Autenticação falha ou ineficaz
    Essa vulnerabilidade ocorre quando os mecanismos de autenticação não conseguem impedir que um invasor acesse recursos não autorizados.
  3. Exposição de dados sensíveis
    Ocorre quando dados confidenciais são armazenados ou transmitidos sem medidas adequadas de segurança, tornando-os vulneráveis a ataques.
  4. XML External Entities (XXE)
    Esse tipo de vulnerabilidade permite que um invasor acesse informações confidenciais armazenadas em um servidor, altere a lógica do aplicativo ou até execute código malicioso.
  5. Quebra de acesso
    A quebra de acesso ocorre quando um invasor pode acessar informações que deveriam ser restritas ou executar ações que deveriam ser restringidas a usuários autorizados.
  6. Segurança de configuração inadequada
    Essa vulnerabilidade ocorre quando as configurações de segurança do aplicativo ou do servidor são inadequadas ou estão desatualizadas.
  7. Cross-site scripting (XSS)
    O XSS é uma vulnerabilidade que permite que um invasor injete código malicioso em um aplicativo web, expondo os dados dos usuários e comprometendo a segurança do aplicativo.
  8. Insegurança em componentes
    Os componentes de terceiros, como bibliotecas, frameworks e plugins, podem conter vulnerabilidades de segurança. Essas vulnerabilidades podem ser exploradas por invasores para acessar informações sensíveis ou executar código malicioso.
  9. Redirecionamento e encaminhamento inválido
    Essa vulnerabilidade permite que um invasor redirecione usuários para um site malicioso ou engane-os para fornecer informações confidenciais.
  10. Falha na validação de entrada
    A falha na validação de entrada ocorre quando um aplicativo não valida adequadamente a entrada do usuário, permitindo que o invasor execute código malicioso ou acesse informações confidenciais.

Prevenir essas vulnerabilidades é fundamental para garantir a segurança de soluções tecnológicas. Os desenvolvedores devem estar cientes dessas vulnerabilidades e tomar medidas preventivas adequadas, como a implementação de práticas de codificação seguras e testes regulares de segurança, para proteger seus aplicativos contra ameaças de segurança.

A Level Two é uma empresa especializada em Análise de Vulnerabilidades e ao decorrer dos seus anos no mercado já detectou e reportou milhares de vulnerabilidades através de um serviço baseado em metodologias comprovadas como PTES, WSTG e NIST.

Saiba mais sobre a Level Two acessando: leveltwo.com.br

Veja mais sobre isso

CSS Injection, ‘desconhecido’, porém preocupante
05/04/2023
MissConfiguration – Isso é GRAVE!
03/05/2023
Information Disclosure, um risco muito comum
10/05/2023
SSTI: O que é e como prevenir vulnerabilidades de injeção de modelo
26/07/2023