OWASP Top Ten 2021: o que mudou na nova versão do ranking?

Todo e qualquer desenvolvedor que se preze certamente é familiar com o OWASP — sigla para Open Web Application Security Project, ou Projeto Aberto de Segurança de Aplicações Web. Como seu nome sugere, trata-se de uma comunidade aberta e global que trabalha para promover um ecossistema de desenvolvimento de aplicações web mais seguras, com materiais educacionais, encontros periódicos e ferramentas úteis para programadores. O OWASP, porém, é sem dúvidas mais conhecido por sua famosa e respeitada lista Top Ten.

O OWASP Top Ten pode ser descrito como um “ranking” que elege as vulnerabilidades, problemas e bugs que são mais comuns (e perigosos) em aplicações web. Sua atualização não segue uma periodicidade fixa, mas, mesmo assim, tal relação de brechas serve como norte para que os desenvolvedores saibam no que se focar na hora de criar e testar as suas próprias aplicações (ou para pentesters/caçadores de bug bounty que estejam estudando determinado ambiente online).

A versão mais recente do Top Ten, até pouco tempo atrás, era o de 2017. Porém, para a surpresa de muitos (como dissemos, a lista não possui uma periodicidade fixa de atualização), o ranking ganhou uma nova versão em setembro de 2021. Muita coisa mudou no OWASP Top Ten 2021, sendo de suma importância analisarmos essas mudanças para entender tendências de vulnerabilidades e compreender como podemos atuar para tornar a web um lugar mais seguro ao longo desta década.

Jogo das cadeiras

No geral, as atualizações do Top Ten costumam se resumir a subidas e descidas de vulnerabilidades dentro do próprio ranking. Este ano não foi diferente, mas temos também três novas categorias e uma descrição bem mais ampla de várias outras. Porém, antes de mais nada, vamos falar sobre quem subiu e quem desceu. Curiosamente, com a medalha de ouro (A01), temos Quebra de Controle de Acesso (Broken Access Control), que na lista de 2017 estava lá em quinto lugar.

Tal categoria inclui todo e qualquer bug que permita a quebra da política de permissões do usuário, facilitando o acesso a informações às quais ele não está autorizado a acessar. No total, 94% das aplicações testadas pelo OWASP possuíam alguma falha do gênero. Em segundo lugar (A02), temos Falhas Criptográficas (Cryptographic Failures), que subiu um degrau em relação a 2017; por fim, em terceiro (A03), temos a categoria Injeção (Injection), que estava em primeiro lugar na última atualização. Confira a lista inteira:

• A01:2021 — Quebra de Controle de Acesso

• A02:2021 — Falhas Criptográficas

• A03:2021 — Injeção

• A04:2021 — Design Inseguro

• A05:2021 — Configuração Insegura

• A06:2021 — Componente Desatualizado e Vulnerável

• A07:2021 — Falha de Identificação e Autenticação

• A08:2021 — Falha na Integridade de Dados e Software

• A09:2021 — Monitoramento de Falhas e Registros de Segurança

• A10:2021 — Falsificação de Solicitação do Lado do Servidor

Novos problemas para novos tempos

Dessa lista completa, três categorias inéditas foram adicionadas: Design Inseguro (criado justamente para diferenciar problemas de estrutura de problemas de implementação), Falha na Integridade de Dados e Software (códigos e infraestruturas que não protegem a integridade dos dados contra terceiros, como plugins maliciosos) e Falsificação de Solicitação do Lado do Servidor (falha que ocorre quando um atacante consegue coagir a aplicação a concluir um request para um destino inesperado).

Como citamos anteriormente, é importantíssimo que desenvolvedores e profissionais que trabalham com testes de intrusão estudem tais tendências e modificações — felizmente, por conta da popularidade do OWASP Top Ten, já é possível encontrar toda a documentação da edição 2021 em português para facilitar a sua vida.

Produção: Equipe de Conteúdo da Perallis Security