17 de SETEMBRO de 2021
O Open Web Application Security Project (OWASP) é uma comunidade aberta dedicada a permitir que as organizações desenvolvam, comprem e mantenham aplicativos e APIs confiáveis.
Owasp é uma fundação sem fins lucrativos onde quase todos os associados são voluntários, não é afiliado a nenhuma empresa de tecnologia e, com isso, não há pressão comercial o que permite fornecer informações imparciais sobre segurança de aplicativos.
OWASP produz muitos tipos de materiais de forma colaborativa, transparente e aberta.
Ela é composta por especialistas da área de desenvolvimento, pesquisadores e especialistas em segurança da informação, disponibilizam gratuitamente conteúdos educacionais incluindo artigos técnicos, tutoriais, pesquisas, documentações e ferramentas open source para auxiliar empresas e profissionais da área a manter/desenvolver aplicações seguras.
O que é OWASP TOP 10?
O OWASP Top 10 é um documento padrão de conscientização para desenvolvedores, segurança de aplicativos web e serve como base para testes de intrusão.
Ele representa um amplo consenso sobre os riscos de segurança mais críticos para aplicativos web. Globalmente reconhecido pelos desenvolvedores como o primeiro passo para uma codificação mais segura.
As empresas devem adotar este documento e iniciar o processo de garantir que seus aplicativos web minimizem esses riscos.
O objetivo final do OWASP é mitigar vulnerabilidades de segurança na web, e, por isso, a iniciativa se organiza em diferentes capítulos locais para elaborar ações de conscientização.
OWASP TOP 10 2021
Recentemente houve a atualização das categorias da OWASP TOP 10, a última versão era de 2017 e de lá para cá muita coisa mudou, tendo esta visão foi gerado o novo TOP 10 com três novas categorias, quatro categorias com alterações de nomenclatura e escopo e alguma consolidação no Top 10 para 2021.
Estas informações foram retiradas diretamente do site da OWASP, com uma tradução não literal das informações.
A01:2021-Broken Access Control
Subiu da quinta posição para a primeira; 94% dos aplicativos que foram testados na pesquisa sofreram alguma violação no controle de acesso.
A02:2021-Cryptographic Failures
Subiu uma posição ficando na 2ª posição, anteriormente conhecida como Sensitive Data Exposure, o qual era tratado como um sintoma, e não uma causa raiz.
A renovação está nas falhas relacionadas à criptografia, que geralmente levam à exposição de dados confidenciais ou comprometimento do sistema.
A03: 2021-Injection
Cai para a terceira posição. 94% dos aplicativos que foram testados na pesquisa sofreram alguma forma de injeção, tendo o segundo maior número de ocorrências em aplicativos.
Cross-site Scripting agora faz parte desta categoria nesta edição.
A04: 2021-Insecure Design
É uma categoria nova para 2021, com foco nos riscos relacionados a falhas de design. A ideia é que, para evoluir exige mais uso de modelagem de ameaças, padrões e princípios de design seguro e arquiteturas de referência.
A05: 2021-Security Misconfiguration
Subiu da 6ª posição na edição anterior. 90% dos aplicativos que foram testados na pesquisa possuíam algum tipo de configuração incorreta. Com mais mudanças em software altamente configurável, não é surpreendente ver essa categoria subir.
A antiga categoria de XML External Entities (XXE) agora faz parte desta categoria.
A06:2021-Vulnerable and Outdated Components
Anteriormente intitulado Using Components with Known Vulnerabilities. Esta categoria passou da 9ª posição em 2017 e é um problema conhecido onde muitos não avaliam os riscos que pode gerar.
A07: 2021-Identification and Authentication Failures
Anteriormente intitulada Broken Authentication caiu da segunda posição, e agora inclui CWEs que estão mais relacionados a falhas de identificação.
A08:2021-Software and Data Integrity Failures
É uma nova categoria para 2021, com foco em fazer suposições relacionadas a atualizações de software, dados críticos e pipelines de CI / CD sem verificar a integridade. Insecure Deserialization de 2017 agora faz parte dessa categoria.
A09:2021-Security Logging and Monitoring Failures
Anteriormente Insufficient Logging & Monitoring, subindo uma posição esta categoria foi expandida para incluir mais tipos de falhas, as falhas nesta categoria podem impactar diretamente a visibilidade, o alerta de incidentes e a perícia.
A10: 2021-Server-Side Request Forgery
Os dados mostram que a taxa de incidência desta categoria é relativamente baixa. Porém, essa categoria representa o cenário em que os profissionais da indústria estão dizendo que é importante, embora não esteja ilustrado nos dados neste momento.
Como utilizar estas informações?
O OWASP Top 10 é principalmente um documento de conscientização. Ele pode ser utilizado como um padrão mas é necessário ficar atento que ele deve ser considerado como o mínimo e apenas um ponto de partida para o desenvolvimento de aplicações seguras ou para testes, outras metodologias e documentos devem ser levadas em consideração para evitar ao máximo os riscos e problemas que podem surgir.
Autor: Anderson de Godoy / owasp.org
