OWASP Top 10

O OWASP Top 10 é um documento de conscientização padrão para desenvolvedores e segurança de aplicativos da web. Ele representa um amplo consenso sobre os riscos de segurança mais críticos para aplicativos da web.

A01:2021-Broken Access Control sobe da quinta posição; 94% dos aplicativos foram testados para alguma forma de Broken Access Control. As 34 Common Weakness Enumerations (CWEs) mapeadas para Broken Access Control tiveram mais ocorrências em aplicativos do que qualquer outra categoria.

A02:2021-Cryptographic Failures sobem uma posição para o número 2, anteriormente conhecido como exposição de dados confidenciais, que era um sintoma amplo, e não uma causa raiz. O foco renovado aqui está nas falhas relacionadas à criptografia, que geralmente levam à exposição de dados confidenciais ou ao comprometimento do sistema.

A03:2021-Injection desliza para a terceira posição. 94% dos aplicativos foram testados para alguma forma de injeção, e os 33 CWEs mapeados nessa categoria têm o segundo maior número de ocorrências em aplicativos. Cross-site Scripting agora faz parte desta categoria nesta edição.

A04:2021-Insecure Design é uma nova categoria, com foco nos riscos relacionados a falhas de design. Se quisermos genuinamente “ir para a esquerda” como uma indústria, isso exige mais uso de modelagem de ameaças, padrões e princípios de design seguros e arquiteturas de referência.

A05:2021-Security Misconfiguration sobe de #6 na edição anterior; 90% dos aplicativos foram testados quanto a alguma forma de configuração incorreta. Com mais mudanças em software altamente configurável, não é surpresa ver essa categoria subir. A antiga categoria para XML External Entities (XXE) agora faz parte desta categoria.

A06:2021-Vulnerable and Outdated Components foi anteriormente intitulado Using Components with Known Vulnerabilities e é o número 2 na pesquisa da comunidade Top 10, mas também tinha dados suficientes para chegar ao Top 10 por meio de análise de dados. Esta categoria passou do 9º lugar em 2017 e é um problema conhecido que lutamos para testar e avaliar o risco. É a única categoria que não tem vulnerabilidades e exposições comuns (CVEs) mapeadas para os CWEs incluídos, portanto, uma exploração padrão e pesos de impacto de 5,0 são considerados em suas pontuações.

A07:2021-Identification and Authentication Failures era uma autenticação quebrada e está caindo da segunda posição, e agora inclui CWEs que estão mais relacionados a falhas de identificação. Essa categoria ainda é parte integrante do Top 10, mas a maior disponibilidade de estruturas padronizadas parece estar ajudando.

A08:2021-Software and Data Integrity Failures é uma nova, com foco em fazer suposições relacionadas a atualizações de software, dados críticos e pipelines de CI/CD sem verificar a integridade. Um dos maiores impactos ponderados dos dados do Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) mapeados para os 10 CWEs nesta categoria. A desserialização insegura de 2017 agora faz parte dessa categoria maior.

A09:2021-Security Logging and Monitoring Failures anteriormente eram registros e monitoramento insuficientes e foram adicionadas a partir da pesquisa do setor (nº 3), passando do nº 10 anterior. Essa categoria é expandida para incluir mais tipos de falhas, é desafiadora de testar e não está bem representada nos dados CVE/CVSS. No entanto, as falhas nessa categoria podem afetar diretamente a visibilidade, o alerta de incidentes e a análise forense.

A10:2021-Server-Side Request Forgery foi adicionada a partir da pesquisa da comunidade Top 10 (nº 1). Os dados mostram uma taxa de incidência relativamente baixa com cobertura de teste acima da média, juntamente com classificações acima da média para potencial de Exploração e Impacto. Essa categoria representa o cenário em que os membros da comunidade de segurança estão nos dizendo que isso é importante, mesmo que não esteja ilustrado nos dados no momento.