O que é o OWASP Top 10? Quais são as vulnerabilidades mais comuns?

Você já ouviu falar do OWASP Top 10? Se você trabalha na área de programação e desenvolvimento de websites, é bem provável que sim. Mas, antes de falar desse ranking em si, é importante explicar o que é a iniciativa OWASP — sigla para Open Web Application Security Project ou Projeto Aberto de Segurança em Aplicações Web, em tradução livre. Trata-se, a grosso modo, de uma comunidade global fundada em setembro de 2001 por Mark Curphey.

Ela é composta por desenvolvedores, pesquisadores e especialistas em segurança da informação, que trocam conhecimentos de forma aberta e disponibilizam gratuitamente conteúdos educacionais — incluindo artigos técnicos, tutoriais, pesquisas, documentações e ferramentas de código aberto — para auxiliar profissionais da área. O objetivo final da OWASP é mitigar vulnerabilidades de segurança na web, e, por isso, a iniciativa se organiza em diferentes capítulos locais para elaborar ações de conscientização.

A principal “obra” dessa comunidade, porém, é sem dúvida alguma o ranking anual OWASP Top 10. Trata-se de uma listagem, atualizada frequentemente, que relaciona as brechas mais críticas, comuns e perigosas quando o assunto é desenvolvimento de projetos web. O projeto começou de forma descompromissada, mas, ao longo dos anos, por conta de sua qualidade e inegável precisão, se tornou um verdadeiro guia reconhecido globalmente por desenvolvedores que desejam se esquivar de ameaças mais frequentes em ambientes web.

Brechas mais comuns

A mais recente versão da OWASP Top 10 é a de 2017 — a edição de 2020 ainda está sendo desenvolvida. Confira os problemas mais comuns e graves listados no ranking:

1) Injeção: falhas de injeção (incluindo SQL, OS e LDAP) ocorrem quando um interpretador pode ser manipulado por um atacante para que ele execute comandos maliciosos, culminando na invasão de sistemas e roubo de dados pessoais em um banco de dados;

2) Quebra de Autenticação: problemas na implementação correta de recursos de autenticação podem ser explorados por criminosos para comprometer credenciais e tokens, obtendo acesso não autorizado a sistemas privados;

3) Exposição de Dados Sensíveis: APIs mal configuradas ou servidores públicos podem acabar expondo dados pessoalmente identificáveis, algo gravíssimo especialmente em tempos de Lei Geral de Proteção de Dados (LGPD).

Claro, estes exemplos são apenas o trio mais “mortal” do OWASP Top 10. Também, temos Entidades Externas de XML (XXE), Quebra de Controles de Acesso, Configurações de Segurança Incorretas, Cross-Site Scripting (XSS), Desserialização Insegura, Utilização de Componentes Vulneráveis e Registro e Monitorização Insuficientes. 

Vale observar que o OWASP Top 10 não se limita a listar vulnerabilidades importantes, mas também oferece uma série de dicas e truques para que você evite esse tipo de problema em seus projetos, explicando as melhores práticas para que um projeto web se torne livre desses bugs.

Qual é a importância?

O OWASP Top 10 é um guia indispensável para qualquer desenvolvedor que esteja trabalhando em projetos de web apps. Com a pandemia do novo coronavírus (SARS-CoV2), muitos colaboradores estão trabalhando remotamente e dependendo ainda mais de ferramentas e soluções de produtividade baseadas na nuvem. Com isso, também cresce a demanda por esse tipo de projeto baseado em web.

Sendo assim, para evitar problemas com exposições indevidas de dados pessoais ou ataques cibernéticos contra seus usuários, é essencial que os desenvolvedores utilizem os recursos da OWASP durante todo o ciclo de desenvolvimento e manutenção de seus projetos, além de realizar auditorias constantes para garantir que seu código esteja em conformidade com novos riscos que surgem diariamente.

Produção: Equipe de Conteúdo Perallis Security