O Open Web Application Security Project (OWASP) lançou a primeira atualização desde 2017 de seu ranking dos 10 principais riscos de segurança para as aplicações web.Trata-se de um guia que reúne e ilustra, de forma ampla e unânime, quais as falhas de segurança mais críticas para as aplicações web, que tem sido usado como padrão de indústria de fato desde sua criação em 2003, apesar de ter sido inicialmente projetado como um documento de conscientização.
A segurança de aplicativos e softwares é um aspecto fundamental e indispensável no planejamento para o desenvolvimento. Além disso, é um fator determinante para a confiabilidade, funcionalidade e êxito de aplicações.
O OWASP é uma comunidade online, uma entidade sem fins lucrativos reconhecida mundialmente, que atua de maneira colaborativa para o aprimoramento de softwares, oferecendo gratuitamente conhecimento e ferramentas relacionados à segurança de aplicações web.
A lista top ten é importante por destacar as 10 falhas mais perigosas de aplicativos e os métodos mais eficazes para tratá-las e mitigar os riscos. Trata-se de um consenso de um colaborativo de especialistas sobre riscos críticos em relação ao desenvolvimento de aplicações. O principal objetivo é conscientizar e fornecer uma base para priorizar os esforços de segurança nas aplicações web. O ranking foi feito com a análise de cerca de 500 mil aplicativos, fornecidos por um número não divulgado de organizações.
A segurança de aplicações é extremamente importante para a redução de riscos digitais, de modo geral. Por isso, o OWASP Top Ten é adotado e referenciado por muitas e importantes organizações e órgãos de padrões de indústria, como PCI Security Standards Council, NIST e outros. A lista continua sendo aperfeiçoada e sua mais recente atualização foi lançada em setembro deste ano (2021), de modo que ela reflete a realidade do cenário de ameaças de hoje.
O que mudou desde a última atualização? Veja a seguir uma breve descrição de cada uma das falhas da lista de 2021.
A01:2021- Broken Access Control – 94% das aplicações foram testadas para alguma forma de controle de acesso quebrado, e as 34 CWEs (Common Weakness Enumeration) mapeadas para Controle de Acesso Quebrado apareceram muito mais em aplicações do que qualquer outra categoria. Controle de acesso aplica uma política que impede que os usuários ajam fora de suas permissões previstas. As falhas normalmente levam à divulgação não autorizada de informações, modificação ou destruição de dados ou ao desempenho de uma função fora dos limites do usuário.
A02:2021 – Falhas Criptográficas subiu uma posição no ranking. Anteriormente era conhecido como Exposição de Dados Sensíveis, mais uma consequência do que uma causa em si. A denominação nova diz respeito a falhas relacionadas à criptografia que podem resultar na exposição de dados sensíveis ou comprometimento de sistema. O primeiro passo é determinar as necessidades de proteção dos dados em trânsito e/ou armazenados. Por exemplo, senhas, números de cartões de crédito, registros de saúde, informações pessoais e comerciais requerem proteção extra, principalmente se esses dados estiverem sob as leis de privacidade, por exemplo, a LGPD.
A03:2021– Injeção caiu para a terceira posição. 94% das aplicações foram testadas para alguma forma de injeção, com uma taxa máxima de incidência de 19%, uma taxa média de incidência de 3%, e 274k ocorrências. Algumas das injeções mais comuns são SQL, NoSQL, comando OS, Object Relational Mapping (ORM), LDAP, e Expression Language (EL) ou injeção Object Graph Navigation Library (OGNL). A revisão do código fonte é o melhor método para detectar se as aplicações são vulneráveis a injeções.
A04:2021– Insecure Design é uma nova categoria para a lista de 2021, com o enfoque nos riscos relacionados a falhas de design, trazendo um apelo para um melhor uso da modelagem de ameaças, padrões de projeto seguros e referências de arquiteturas. Esta é uma categoria ampla que representa diferentes fraquezas. Um dos fatores que contribuem para um design inseguro é a falta de perfil de risco comercial inerente ao software ou sistema que está sendo desenvolvido e, portanto, a falha em determinar qual nível de segurança é necessário.
A05:2021 – Má configuração de segurança: na edição anterior estava na sexta posição, subiu devido à crescente tendência para softwares altamente configuráveis. 90% das aplicações foram testadas para alguma forma de má configuração, com uma taxa média de incidência de 4,5%, e mais de 208k ocorrências de uma CWE nesta categoria de risco. Sem um processo de configuração de segurança de aplicação consistente e replicável, os sistemas correm um risco maior.
A06:2021 – Componentes Vulneráveis e Desatualizados, antes intitulado como ‘Usando Componentes com Vulnerabilidades Conhecidas’, subiu de #9 e agora é #2 na lista. Tinha dados suficientes para fazer o Top 10 via análise de dados. Esta categoria é conhecida como sendo desafiadora para testar e avaliar os riscos e é a única categoria que não tem nenhuma CWE mapeada para os CWEs incluídos. Toda organização deve assegurar um plano contínuo de monitoramento, triagem e aplicação de atualizações ou mudanças de configuração durante a vida útil da aplicação ou do portfólio.
A07:2021-Identificação e Falhas de Autenticação, listada como ‘Quebra de Autenticação’ anteriormente. A confirmação da identidade do usuário, autenticação e gerenciamento da sessão é fundamental para proteger contra ataques relacionados à autenticação.
A08:2021– Falhas de Integridade de Software e Dados é uma nova categoria, relacionada a códigos e infraestruturas desprotegidas.
A09:2021 – Registro de Segurança e Monitoramento de Falhas era anteriormente ‘Registro e Monitorização Insuficiente’, esta categoria é para ajudar a detectar, escalar e responder a violações ativas. Sem registro e monitoramento, as violações não podem ser detectadas.
A10:2021– Server-Side Request Forgery (SSRF) é adicionado da pesquisa da indústria. As falhas do SSRF ocorrem sempre que uma aplicação web busca um recurso remoto sem validar a URL fornecida pelo usuário. Ela permite que um atacante force a aplicação a enviar uma solicitação elaborada para um destino inesperado, mesmo quando protegida por um firewall, VPN, ou outro tipo de lista de controle de acesso à rede (ACL).
Referência: https://owasp.org/Top10
