OWASP – Open Web Application Security Project é uma comunidade aberta dedicada a permitir que as organizações desenvolvam, adquiram e mantenham aplicações/softwares e APIs seguras e confiáveis.
O OWASP Top 10 é um documento padrão de conscientização para desenvolvedores e segurança de aplicativos da web. Ele representa um amplo consenso sobre os riscos de segurança mais críticos para os aplicativos da web.
Os dez riscos mais críticos para a segurança de aplicativos da Web definidos pela OWASP em 2017 são:
- A1: Injeção
Falhas de injeção, como injeção de SQL, NoSQL, OS e LDAP, ocorrem quando dados não confiáveis são enviados a um intérprete (serviço/software) como parte de um comando ou consulta. Os dados hostis do invasor podem induzir o intérprete a executar comandos indesejados ou acessar dados sem a autorização adequada.
- A2: Quebra de Autenticação
As funções de aplicativo relacionadas à autenticação e gerenciamento de sessão são frequentemente implementadas incorretamente, permitindo que os invasores comprometam senhas, chaves ou tokens de sessão ou explorem outras falhas de implementação para assumir as identidades de outros usuários temporária ou permanentemente.
- A3: Exposição de Dados Sensíveis
Muitos aplicativos da web e APIs não protegem adequadamente dados confidenciais. Os invasores podem roubar ou modificar esses dados fracamente protegidos para conduzir fraude de cartão de crédito, roubo de identidade ou outros crimes. Os dados confidenciais podem ser comprometidos sem proteção extra, como criptografia em repouso ou em trânsito, e requerem precauções especiais quando trocados com o navegador.
- A4: Entidades Externas de XML (XXE)
Muitos processadores de XML mais antigos ou mal configurados avaliam referências a entidades
externas dentro dos documentos XML. Estas entidades externas podem ser usadas para revelar
ficheiros internos usando o processador de URI de ficheiros, partilhas internas de ficheiros, pesquisa
de portas de comunicação internas, execução de código remoto e ataques de negação de serviço, tal
como o ataque Billion Laughs.
- A5: Quebra de Controlo de Acessos
As restrições sobre o que os utilizadores autenticados estão autorizados a fazer nem sempre são
corretamente verificadas. Os atacantes podem abusar destas falhas para aceder a funcionalidades ou
dados para os quais não têm autorização, tais como dados de outras contas de utilizador, visualizar
ficheiros sensíveis, modificar os dados de outros utilizadores, alterar as permissões de acesso, entre
outros.
- A6: Configurações de Segurança Incorrectas
As más configurações de segurança são o aspeto mais observado nos dados recolhidos.
Normalmente isto é consequência de configurações padrão inseguras, incompletas ou ad hoc,
armazenamento na nuvem sem qualquer restrição de acesso, cabeçalhos HTTP mal configurados ou
mensagens de erro com informações sensíveis. Não só todos os sistemas operativos, frameworks,
bibliotecas de código e aplicações devem ser configurados de forma segura, como também devem ser
atualizados e alvo de correções de segurança atempadamente.
- A7: Cross-Site Scripting (XSS)
As falhas de XSS ocorrem sempre que uma aplicação inclui dados não-confiáveis numa nova página
web sem a validação ou filtragem apropriadas, ou quando atualiza uma página web existente com
dados enviados por um utilizador através de uma API do browser que possa criar JavaScript. O XSS
permite que atacantes possam executar scripts no browser da vítima, os quais podem raptar sessões
do utilizador, descaraterizar sites web ou redirecionar o utilizador para sites maliciosos.
- A8: Desserialização Insegura
Desserialização insegura normalmente leva à execução remota de código. Mesmo que isto não
aconteça, pode ser usada para realizar ataques, incluindo ataques por repetição, injeção e elevação de
privilégios.
- A9: Utilização de Componentes Vulneráveis
Componentes tais como, bibliotecas, frameworks e outros módulos de software, são executados com
os mesmos privilégios que a aplicação. O abuso dum componente vulnerável pode conduzir a uma
perda séria de dados ou controlo completo de um servidor. Aplicações e APIs que usem componentes
com vulnerabilidades conhecidas podem enfraquecer as defesas da aplicação possibilitando ataques e
impactos diversos
- 10: Registo e Monitor Insuficiente
O registo e monitorização insuficientes, em conjunto com uma resposta a incidentes inexistente ou
insuficiente permite que os atacantes possam abusar do sistema de forma persistente, que o possam
usar como entrada para atacar outros sistemas, e que possam alterar, extrair ou destruir dados. Alguns
dos estudos demonstram que o tempo necessário para detetar uma violação de dados é de mais de
200 dias e é tipicamente detectada por entidades externas ao invés de processos internos ou
monitoração.
Aconselham uma abordagem envolvendo pessoas, processos e tecnologia, sendo necessário um conjunto de melhorias em todas estas áreas.
Precisando de consultoria para PenTest – Teste de Invasão? Clique aqui e conheça +
Fonte: wiki.owasp.org/images/0/06/OWASP_Top_10-2017-pt_pt.pdf