OWASP: O que é e qual a sua importância?

17/09/2021 - 3 min. de leitura

OWASP: O que é e qual a sua importância?

OWASP

O Open Web Application Security Project (OWASP) é uma comunidade aberta dedicada a permitir que as organizações desenvolvam, comprem e mantenham aplicativos e APIs confiáveis. 

Owasp é uma fundação sem fins lucrativos onde quase todos os associados são voluntários, não é afiliado a nenhuma empresa de tecnologia e, com isso, não há pressão comercial o que permite fornecer informações imparciais sobre segurança de aplicativos. 

OWASP produz muitos tipos de materiais de forma colaborativa, transparente e aberta. 
Ela é composta por especialistas da área de desenvolvimento, pesquisadores e especialistas em segurança da informação, disponibilizam gratuitamente conteúdos educacionais incluindo artigos técnicos, tutoriais, pesquisas, documentações e ferramentas open source para auxiliar empresas e profissionais da área a manter/desenvolver aplicações seguras. 
 

 

O que é OWASP TOP 10? 

 
O OWASP Top 10 é um documento padrão de conscientização para desenvolvedores, segurança de aplicativos web e serve como base para testes de intrusão. 

Ele representa um amplo consenso sobre os riscos de segurança mais críticos para aplicativos web. Globalmente reconhecido pelos desenvolvedores como o primeiro passo para uma codificação mais segura. 

As empresas devem adotar este documento e iniciar o processo de garantir que seus aplicativos web minimizem esses riscos. 
O objetivo final do OWASP é mitigar vulnerabilidades de segurança na web, e, por isso, a iniciativa se organiza em diferentes capítulos locais para elaborar ações de conscientização. 

 


OWASP TOP 10 2021 

 
Recentemente houve a atualização das categorias da OWASP TOP 10, a última versão era de 2017 e de lá para cá muita coisa mudou, tendo esta visão foi gerado o novo TOP 10 com três novas categorias, quatro categorias com alterações de nomenclatura e escopo e alguma consolidação no Top 10 para 2021. 

Estas informações foram retiradas diretamente do site da OWASP, com uma tradução não literal das informações. 

A01:2021-Broken Access Control

Subiu da quinta posição para a primeira; 94% dos aplicativos que foram testados na pesquisa sofreram alguma violação no controle de acesso. 

A02:2021-Cryptographic Failures

Subiu uma posição ficando na 2ª posição, anteriormente conhecida como Sensitive Data Exposure, o qual era tratado como um sintoma, e não uma causa raiz.

A renovação está nas falhas relacionadas à criptografia, que geralmente levam à exposição de dados confidenciais ou comprometimento do sistema. 

A03: 2021-Injection

Cai para a terceira posição. 94% dos aplicativos que foram testados na pesquisa sofreram alguma forma de injeção, tendo o segundo maior número de ocorrências em aplicativos.
Cross-site Scripting agora faz parte desta categoria nesta edição. 

A04: 2021-Insecure Design

É uma categoria nova para 2021, com foco nos riscos relacionados a falhas de design. A ideia é que, para evoluir exige mais uso de modelagem de ameaças, padrões e princípios de design seguro e arquiteturas de referência. 

A05: 2021-Security Misconfiguration

Subiu da 6ª posição na edição anterior. 90% dos aplicativos que foram testados na pesquisa possuíam algum tipo de configuração incorreta. Com mais mudanças em software altamente configurável, não é surpreendente ver essa categoria subir.

A antiga categoria de XML External Entities (XXE) agora faz parte desta categoria. 

A06:2021-Vulnerable and Outdated Components

Anteriormente intitulado Using Components with Known Vulnerabilities. Esta categoria passou da 9ª posição em 2017 e é um problema conhecido onde muitos não avaliam os riscos que pode gerar. 

A07: 2021-Identification and Authentication Failures

 Anteriormente intitulada Broken Authentication caiu da segunda posição, e agora inclui CWEs que estão mais relacionados a falhas de identificação. 

A08:2021-Software and Data Integrity Failures

É uma nova categoria para 2021, com foco em fazer suposições relacionadas a atualizações de software, dados críticos e pipelines de CI / CD sem verificar a integridade. Insecure Deserialization de 2017 agora faz parte dessa categoria. 

A09:2021-Security Logging and Monitoring Failures

Anteriormente Insufficient Logging & Monitoring, subindo uma posição esta categoria foi expandida para incluir mais tipos de falhas, as falhas nesta categoria podem impactar diretamente a visibilidade, o alerta de incidentes e a perícia. 

A10: 2021-Server-Side Request Forgery

Os dados mostram que a taxa de incidência desta categoria é relativamente baixa. Porém, essa categoria representa o cenário em que os profissionais da indústria estão dizendo que é importante, embora não esteja ilustrado nos dados neste momento. 

 


Como utilizar estas informações?

 
O OWASP Top 10 é principalmente um documento de conscientização. Ele pode ser utilizado como um padrão mas é necessário ficar atento que ele deve ser considerado como o mínimo e apenas um ponto de partida para o desenvolvimento de aplicações seguras ou para testes, outras metodologias e documentos devem ser levadas em consideração para evitar ao máximo os riscos e problemas que podem surgir. 

Autor: Anderson de Godoy / owasp.org

Veja também

Security

Segurança de Redes: aprenda em 5 minutos como se proteger

Saiba mais
Zero-Day-Vulnerability

Zero day vulnerability: o que é vulnerabilidade 0 day e como funciona?

Saiba mais

Assine nossa Newsletter

Receba as novidades da Integrasul em seu e-mail.