O Open Web Application Security Project (OWASP) é uma organização internacional sem fins lucrativos dedicada à segurança de aplicativos web.
Esta instituição trabalha para melhorar a segurança dos aplicativos web através de projetos de software de código aberto liderados pela comunidade a nível mundial, divulgados através de conferências locais e globais.
Para apoiar as Companhias, eles oferecem documentação, ferramentas, vídeos e fóruns.
Seu projeto mais conhecido é o OWASP Top 10.
Veja, neste artigo, o que é OWASP Top 10 e por que sua empresa deve adotá-lo
O que é o OWASP Top 10
O OWASP Top 10 é um relatório atualizado regularmente que descreve os 10 riscos mais críticos em segurança para aplicativos web, elaborado por uma equipe global de especialistas de segurança.
O documento estabelece um padrão de conscientização para desenvolvedores, e é altamente recomendado para que as Empresas insiram em seus processos, para minimizar ou mitigar os riscos de segurança.
Por que adotar o OWASP Top 10
As empresas devem adotar este documento para garantir que seus aplicativos da web minimizem riscos de segurança.
Especialistas acreditam que, usar o OWASP Top 10 é o primeiro passo eficaz para mudar a cultura de desenvolvimento de software dentro das empresas para uma que produza um código mais seguro.
Principais riscos e vulnerabilidades de segurança comuns em aplicativos da web, segundo o documento:
1. Injeção.
Como ocorre: Quando dados não confiáveis são enviados a um intérprete como parte de um comando ou consulta em SQL, MySQL, OS e LDAP. Os dados hostis do invasor podem induzir o intérprete a executar comandos indesejados ou acessar dados sem a autorização adequada.
Como pode ser evitado: Validando dados (rejeitando os que têm aparência suspeita) ou higienizando os dados (limpando os que têm aparência suspeita) enviados pelo usuário ou quando o administrador do banco de dados minimiza a quantidade de informações que um ataque de injeção pode expor.
2. Falha na autenticação.
Como ocorre: Quando as funções relacionadas à autenticação e gerenciamento de sessão são implementadas incorretamente, permitindo que invasores comprometam senhas, chaves ou tokens de sessão, ou explorem outras falhas de implementação para assumir as identidades de outros usuários de forma temporária ou permanente. Vulnerabilidades em sistemas de autenticação podem dar aos invasores acesso às contas de usuários e até mesmo comprometer um sistema inteiro usando contas de administrador.
Como pode ser evitado: Aplicando autenticação multifator e limitando as tentativas repetidas de login.
3. Exposição de dados sensíveis.
Como ocorre: Quando os aplicativos da web e APIs não protegem adequadamente os dados confidenciais, como informações financeiras, senhas, saúde e PII, possibilitando que invasores roubem ou modifiquem esses dados para conduzir fraude de cartão de crédito, roubo de identidade ou outros crimes.
Como pode ser evitado: O risco de exposição de dados pode ser minimizado através da criptografia dos dados sensíveis e desativando o armazenamento em cache de informações confidenciais.
4. Entidades externas XML (XXE).
Como ocorre: Ataque contra aplicativos da web que analisam a entrada XML, tentando explorar uma vulnerabilidade neles. Um analisador XML pode ser ludibriado para enviar dados para entidade externa não autorizada, podendo transmitir dados sensíveis diretamente a um invasor, usando: manipulador de URI de arquivo, compartilhamentos de arquivos internos, varredura de porta interna, execução remota de código e ataques de negação de serviço.
Como pode ser evitado: Caso os aplicativos web corrijam os analisadores XML e desabilitando o uso de entidades externas em aplicativos XML.
5. Falha no controle de acesso.
Como ocorre: As restrições sobre o que os usuários autenticados têm permissão para fazer muitas vezes não são aplicadas de forma adequada. Invasores podem explorar essas falhas para acessar funcionalidades e/ ou dados não autorizados, como acessar contas de outros usuários, visualizar arquivos confidenciais, modificar dados de outros usuários, alterar direitos de acesso, etc. Controles de acesso corrompidos permitem que os invasores executem tarefas como se fossem usuários privilegiados, como administradores.
Como pode ser evitado: Eles podem ser protegidos garantindo que o aplicativo web use tokens de autorização e controles rígidos sobre eles.
6. Configuração incorreta de segurança.
Como ocorre: A configuração incorreta de segurança é a vulnerabilidade mais comum, e geralmente, resultado do uso de configurações padrão, configurações incorretas em cabeçalhos HTTP, armazenamento em nuvem aberta e mensagens de erro exibindo detalhes excessivos, como informações confidenciais.
Como pode ser evitado: A falha pode ser atenuada removendo quaisquer recursos não utilizados no código e garantindo que as mensagens de erro sejam mais gerais.
7. Cross-Site Scripting XSS.
Como ocorre: As falhas de XSS ocorrem sempre que um aplicativo inclui dados não confiáveis em uma nova página da web sem validação ou adicione código personalizado em um caminho de URL ou em um site que será visto por outros usuários.
Esta vulnerabilidade pode ser explorada para executar código JavaScript malicioso no navegador da vítima. O XSS permite que os invasores executem scripts no navegador da vítima, que podem sequestrar as sessões do usuário, desfigurar sites da web ou redirecionar o usuário para sites maliciosos.
Como pode ser evitado: As estratégias de mitigação para cross-site scripting incluem fugir de solicitações HTTP não confiáveis, bem como a validação e/ou higienização de conteúdo gerado pelo usuário.
8. Desserialização insegura.
Como ocorre: Essa ameaça tem como alvo os aplicativos da web que frequentemente serializam (pegam objetos do código do aplicativo e convertem em formatos que podem ser usados para outra finalidade, como armazenar os dados em disco ou transmiti-los) e desserializam dados (converter dados serializados de volta em objetos que o aplicativo pode usar). A desserialização insegura geralmente leva à execução remota de código. Elas podem ser usadas para realizar ataques, incluindo ataques de repetição, ataques de injeção e ataques de escalonamento de privilégios.
Como pode ser evitado: É possível tentar capturar os invasores monitorando a desserialização e implementando verificações, além de proibir a desserialização de dados de fontes não confiáveis.
9. Usando componentes com vulnerabilidades conhecidas.
Como ocorre: Muitos desenvolvedores da web modernos usam componentes como bibliotecas e estruturas em seus aplicativos web. Quando esses componentes, como bibliotecas, estruturas e outros módulos de software, são executados com os mesmos privilégios do aplicativo, e um deles que está vulnerável for explorado, esse tipo de ataque pode facilitar a perda de dados ou o controle do servidor. Aplicativos e APIs que usam componentes com vulnerabilidades conhecidas podem minar as defesas do aplicativo e permitir vários ataques e impactos.
Como pode ser evitado: Para minimizar o risco de execução de componentes com vulnerabilidades conhecidas, os desenvolvedores devem remover componentes não utilizados de seus projetos e garantir que estejam recebendo componentes de uma fonte confiável, atualizada.
10. Registro e monitoramento insuficientes.
Como ocorre: Muitos aplicativos web não estão realizando etapas suficientes para detectar violações de dados. Isso dá aos invasores muito tempo para causar danos antes que haja qualquer resposta. O registro e o monitoramento insuficientes, juntamente com a integração ausente ou ineficaz com a resposta a incidentes, permitem que os invasores atacam ainda mais os sistemas, mantêm a persistência, liguem para mais sistemas e adulterem, extraiam ou destruam dados.
Como pode ser evitado: O OWASP recomenda que os desenvolvedores da web implementem o registro e o monitoramento, bem como os planos de resposta a incidentes, para garantir que estejam cientes dos ataques aos seus aplicativos.
Desenvolva seus aplicativos com segurança
O Authfy, nossa plataforma de orquestração de identidades, foi pensada para facilitar a vida dos desenvolvedores: ela é low-code e developer first. Ela previne 9 de 10 das Top OWASP API 2021: Broken Access Control, Cryptographic Failures, Injection, Insecure Design, Security Misconfiguration, Vulnerable and Outdated Components, Identification and Authentication Failures, Security Logging and Monitoring Failures, Server-Side Request Forgery (SSRF).
O Authfy simplifica o embarque nos aplicativos e canais digitais, dá mais agilidade no desenvolvimento de aplicativos, promovendo a transformação digital do negócio.
Acompanhe
nossas redes
Últimos Posts
