Ícone do site Prime Control

OWASP: Conheça as 10 maiores vulnerabilidades de software

Conhecer as vulnerabilidades às quais um software está sujeito é o primeiro passo para combatê-las. Contudo, existem variações de risco e extensão, e é preciso hierarquizar as ameaças para não dispersar as ações de segurança.

Foi com base nesses entendimentos que criaram o projeto OWASP (Open Web Application Security Project) em 2003. Uma iniciativa global e sem fins lucrativos que compila, organiza e atualiza continuamente uma base de conhecimento a respeito das principais vulnerabilidades de software.

A lista das 10 principais vulnerabilidades é atualizada a cada alguns anos – a lista mais recente é de Setembro de 2021. São elas:

  1. Controle de Acesso Quebrado (Broken Access Control)
  2. Falhas de Criptografia
  3. Injeções
  4. Design Inseguro
  5. Má Configuração de Segurança
  6. Componentes Vulneráveis e Datados
  7. Falhas de Identificação e Autenticação
  8. Falhas de Integridade de Dados e Software
  9. Insuficiência de Logging e Monitoramento
  10. Forja de Sever-Side Request

 

Continue lendo o artigo para entender o que essas vulnerabilidades representam – e como combatê-las.

1) Controle de Acesso Quebrado (Broken Access Control)

O problema

É importante manter sob controle as permissões de acesso de usuários a um site. Por exemplo, um cliente de e-commerce não deve ser capaz de acessar as áreas administrativas da loja – a prerrogativa deve ser exclusiva para administradores.

Quando há usuários com permissões amplas de gerenciamento, é preciso tomar um cuidado especial com a segurança: se alguém roubar o acesso, pode comprometer toda a aplicação (painéis de administração, servidores, bases de dados) e até mesmo redirecionar navegadores para outras URLs.

As soluções

 

2) Falhas de Criptografia

O problema

Dados sensíveis (senhas, números de cartão de crédito, informações de saúde etc.) podem ser comprometidos por más práticas de criptografia: algoritmos datados; chaves de criptografia fracas ou reutilizadas; descuido no gerenciamento e rotatividade de chaves.

As soluções

 

3) Injeção

O problema

Injeções são códigos maliciosos inseridos em aplicações web para atacar a estrutura ou coletar dados.

As soluções

 

4) Design Inseguro

O problema

Esse conceito (que pode ser traduzido como “fraco ou ausente design de controle”) é bastante amplo e envolve aspectos como modelagem de ameaças, padrões de design de segurança e arquiteturas de referência.

As soluções

5) Má Configuração de Segurança

O problema

De todas as vulnerabilidades listadas aqui, esta é a mais comum (segundo estudo do Gartner, cerca de 95% das brechas na Nuvem são resultados de erro humano). Entre as falhas dessa categoria, temos configurações incompletas, falhas na configuração de cabeçalhos de HTTP, mensagens de erro que mostram informações sensíveis e armazenamentos em nuvem “acessíveis demais”.

As soluções

 

6) Componentes Vulneráveis ou Datados

O problema 

Um volume impressionante de vulnerabilidades se esconde em componentes de software que chamam pouco a atenção dos desenvolvedores. Daí a importância de analisá-los de maneira contínua e eficiente.

As soluções

 

7) Falhas de Identificação e Autenticação

O problema

Essa categoria de vulnerabilidade combina os itens 1 e 5: sem um gerenciamento apropriado de acessos, há um elevado risco de invasão usando-se as credenciais de usuários.

As soluções

 

8) Falhas de Integração de Software e Dados

O problema

Essa categoria se refere a códigos e infraestrutura que não protegem contra violações de integridade. Como exemplo, podemos citar programas que usem plugins, bibliotecas ou módulos de fontes não confiáveis.

As soluções

 

9) Insuficiência de Logging e Monitoramento

O problema

O intervalo entre um ataque e a sua identificação pode durar meses – isso quando uma identificação… Tempo mais do que suficiente para que os hackers possam corromper bases de dados, adulterar servidores, plantar códigos maliciosos e roubar dados sensíveis.

As soluções

 

10) Forja de Sever-Side Request

O problema

Essa falha de segurança (conhecida pela sigla SSRF – Server-Side Request Forgery) permite que o hacker force uma aplicação server-side a enviar requisições de HTTP para qualquer domínio. Isso pode ocorrer mesmo com aplicações protegidas por firewall, VPN ou outros meios de controle de acesso de rede.

As soluções

 

Uma segurança mal configurada pode colocar tudo a perder com a sua aplicação, por isso é imprescindível contar com o apoio de profissionais experientes e capacitados. Clique aqui e agende uma conversa com um especialista Prime Control!

Sair da versão mobile