Top 10 OWASP
A fundação OWASP se trata da organização mais conhecida em cibersegurança, que trabalha para melhorar a proteção de aplicações web através de projetos de código aberto guiados por uma comunidade online de segurança da informação. A Open Web Application Security Project (em tradução livre: Projeto aberto de Segurança em Aplicações Web), ou OWASP, cria e disponibiliza de forma gratuita documentações, ferramentas, treinamentos, tecnologias, artigos e metodologias na área de SI para orientar e servir como fundação para desenvolvedores que desejam contribuir para a segurança digital.
O projeto é responsável pela divulgação do OWASP Top 10, que se trata de um material de referência onde se destacam as principais preocupações em cibersegurança para aplicações web. O relatório é formulado por um time de profissionais especialistas do mundo todo, e seu ranking se trata de um documento de recomendação para que empresas e organizações adotem medidas de mitigação de riscos em segurança cibernética, apesar de não se tratar de um padrão (e essa é uma declaração da própria organização).
OWASP Top 10
O ranqueamento dessas falhas de segurança não é definida unicamente pela OWASP, e sim através de um trabalho conjunto com diversos profissionais (open source) e organizações que analisam um total de 43 CWE (Common Weakness Enumeration – “Enumeração de Fraquezas Comuns”), que incluem vulnerabilidades de hardware e software.
É importante pautar que, apesar de não se tratar de um padrão (já que cada organização pode apresentar suas próprias vulnerabilidades), é de grande valia que profissionais e aspirantes à hackers éticos mantenham-se informados sobre as atualizações do OWASP Top 10 riscos mais significativos:
- A01:2021 – Broken Access Control (Quebra de Controle de Acesso)
Controles de acesso devem instaurar parâmetros que limitem o acesso do usuário, impedindo que ajam fora das permissões intendidas pela aplicação.
Falhas desse tipo normalmente levam a divulgação de informação não autorizada, modificação ou destruição de dados ou atuação fora do que seria o acesso padrão do usuário.
- A02:2021 – Cryptographic Failures (Falhas Criptográficas)
Alguns dados como senhas, números de cartão, registros de saúde, informações pessoais, segredos comerciais e dados pessoais de maneira geral exigem uma proteção extra de segurança através de criptografia.
Falhas em processos criptográficos normalmente podem expor dados sensíveis. Esse tipo de falha normalmente incluem o CWE-259 (senhas “embutidas”, ou melhor, hard-coded), CWE-327 (utilização de algoritmos de criptografia “quebrados” ou arriscados) e CWE-331 (utilização de algoritmos de baixa “entropia”, criando padrões mais frequentes que outros).
- A03:2021 – Injection (Injeção)
Injeções são feitas através do processamento de dados fornecidos pelo usuário e podem ser exploradas, por exemplo, através de Injeções SQL ou XSS-Attack (Cross-site Scripting). Dessa forma são exploradas vulnerabilidades geradas pela falta de tratamento de dados hostis em parâmetros de pesquisa ou através de concatenação direta para gerar comandos maliciosos.
- A04:2021 – Insecure Design (Design Inseguro)
Essa categoria representa diferentes fraquezas, que compreendem de forma geral os “controles de design falhos ou faltantes”. Esse tipo de falha não se trata de problemas de implementações, e sim problemas gerais da arquitetura do negócio em desenvolvimento.
- A05:2021 – Security Misconfiguration (“Má” Configuração de Segurança)
Falhas de configuração de segurança correspondem a uma ampla gama de situações onde pode se notar permissões incorretas, recursos desnecessários, acessos de usuários habilitados e inalterados, softwares desatualizados, configurações de segurança indefinidas ou falhas de uma maneira geral.
- A06:2021 – Vulnerable and Outdated Components (Vulnerabilidades e Componentes Desatualizados)
Vulnerabilidades desse tipo surgem a partir da falta de atualização dos componentes utilizados tanto no client-side quanto no server-side. Esse tipo de falha é resultado da falta de manutenção dos componentes.
- A07:2021 – Identification and Authentication Failures (Falhas de Identificação e Autenticação)
A confirmação da identidade do usuário, sua autenticação e administração da sessão são pontos críticos contra ataques relacionados a essa categoria. Em geral as vulnerabilidades surgem através de senhas fracas, processos de autenticação multi-fatores ineficientes ou inexistentes, credential stuffing, brute force ou ataques automatizados irrestritos, sistemas de criptografias ineficientes, recuperação de senha ineficiente, etc.
- A08:2021 – Software and Data Integrity Failures (Falhas de Integridade de Dados e Software)
Esse tipo de falha de integridade de dados e software se faz presente em códigos e estruturas não protegidas contra violação de integridade. Em aplicações que utilizam plugins, bibliotecas, módulos de fontes não confiáveis, repositórios e CDNs pode-se observar esse tipo de falha, por exemplo. Nessa categoria se encaixam os riscos que podem ser introduzidos através de aplicações e serviços externos por meio de atualizações e introdução de códigos maliciosos.
- A09:2021 – Security Logging and Monitoring Failures (Monitoramento de Falhas e Segurança de Logs)
Falhas no monitoramento e registro desse tipo são críticas por não apontarem e por permitirem que breaches se mantenham indetectáveis e portanto irremediáveis. A insuficiência desse tipo de monitoramento e detecção podem acarretar em vazamento de informações aos moldes do primeiro item dessa lista.
- A10:2021 – Server-Side Request Forgery – SSRF (Falsificação de Solicitação do Lado do Servidor)
É um tipo de falha que ocorre quando um aplicativo da web busca um recurso remoto sem a validação da url fornecida pelo usuário. Isso permite que um atacante force a aplicação a enviar uma solicitação criada para um destino não esperado. A severidade desse tipo de falsificação tem aumentado à medida que se desenvolvem os serviços em nuvem e a complexidade de arquiteturas.
Apesar de serem esses os 10 elementos de risco mais significativos, a OWASP menciona ainda em seu site uma continuidade, A11:2021 – Next Steps, que aponta para além de seu ranqueamento.
Por enquanto vamos manter nossos estudos nesse ranqueamento principal, cujo conhecimento é de extrema importância para qualquer um que deseje atuar na área de segurança da informação, seja qual for o seu front de atuação.
E se você é realmente dedicado e diferente da maioria das pessoas realmente está interessado em aprender e deseja se tornar um hacker ético profissional, nós da Solyd preparamos o melhor material de formação do mercado.