Saiba quais são as vulnerabilidades do Top 10 da OWASP 2021

Quais são as vulnerabilidades do Top 10 da OWASP 2021?

Muitos nos perguntam se nosso serviço de Web Application Firewall (WAF) protege contra as vulnerabilidades do Top 10 da OWASP de 2021, então resolvemos trazer esse assunto para explicar melhor sobre ele.

Segundo dados da OWASP com relação ao Top 10 2021, percebemos que no novo quadro atualizado de vulnerabilidades deste ano temos as mesmas que tínhamos anteriormente, porém conta-se com três novas categorias e quatro com atualização de nome. 

Para saber mais acompanhe o artigo até o final. Boa leitura!

Alterações do OWASP Top 10 2021

Open Web Application Security Project, também conhecida como OWASP, é uma entidade sem fins lucrativos e com reconhecimento internacional que atua com foco na colaboração para o fortalecimento da segurança de softwares em todo o mundo.

Já o OWASP Top 10 é um documento padrão de conscientização para desenvolvedores e segurança de aplicativos web, que serve como base para testes de intrusão e desenvolvimento de ferramentas de segurança, como WAF. Ele representa um amplo consenso sobre os riscos de segurança mais críticos para aplicativos web. Globalmente reconhecido pelos desenvolvedores como o primeiro passo para uma codificação mais segura. 

O OWASP Top 10 pode ser utilizado como um padrão mas é necessário ficar atento que ele deve ser considerado como o mínimo e apenas um ponto de partida para o desenvolvimento de aplicações seguras ou para testes, outras metodologias e documentos devem ser levadas em consideração para evitar ao máximo os riscos e problemas que podem surgir. 

Recentemente houve a atualização das categorias, a última versão era de 2017 e de lá para cá muita coisa mudou, agora existem três novas categorias, quatro categorias com alterações de nomenclatura e escopo e duas consolidações no Top 10 para 2021. Observe na imagem a seguir:

Figura 1 – Alterações do Top 10 da OWASP 2021.

A01:2021-Broken Access Control

Subiu da quinta posição para a primeira; 94% dos aplicativos que foram testados na pesquisa sofreram alguma violação no controle de acesso. 

A02:2021-Cryptographic Failures

Subiu uma posição ficando na 2ª posição, anteriormente conhecida como Sensitive Data Exposure, o qual era tratado como um sintoma, e não uma causa raiz.

A renovação está nas falhas relacionadas à criptografia, que geralmente levam à exposição de dados confidenciais ou comprometimento do sistema. 

A03: 2021-Injection

Cai para a terceira posição. 94% dos aplicativos que foram testados na pesquisa sofreram alguma forma de injeção, tendo o segundo maior número de ocorrências em aplicativos.

Cross-site Scripting agora faz parte desta categoria nesta edição. 

A04: 2021-Insecure Design

É uma categoria nova para 2021, com foco nos riscos relacionados a falhas de design. A ideia é que, para evoluir exige mais uso de modelagem de ameaças, padrões e princípios de design seguro e arquiteturas de referência. 

A05: 2021-Security Misconfiguration

Subiu da 6ª posição na edição anterior. 90% dos aplicativos que foram testados na pesquisa possuíam algum tipo de configuração incorreta. Com mais mudanças em software altamente configurável, não é surpreendente ver essa categoria subir.

A antiga categoria de XML External Entities (XXE) agora faz parte desta categoria. 

A06:2021-Vulnerable and Outdated Components

Anteriormente intitulado Using Components with Known Vulnerabilities. Esta categoria passou da 9ª posição em 2017 para a 6ª em 2021, e é um problema conhecido onde muitos não avaliam os riscos que pode gerar. 

A07: 2021-Identification and Authentication Failures

Anteriormente intitulada Broken Authentication caiu da segunda posição, e agora inclui CWEs que estão mais relacionados a falhas de identificação. 

A08:2021-Software and Data Integrity Failures

É uma nova categoria para 2021, com foco em fazer suposições relacionadas a atualizações de software, dados críticos e pipelines de CI / CD sem verificar a integridade. Insecure Deserialization de 2017 agora faz parte dessa categoria. 

A09:2021-Security Logging and Monitoring Failures

Anteriormente Insufficient Logging & Monitoring, subindo uma posição esta categoria foi expandida para incluir mais tipos de falhas, as falhas nesta categoria podem impactar diretamente a visibilidade, o alerta de incidentes e a perícia. 

A10: 2021-Server-Side Request Forgery

Os dados mostram que a taxa de incidência desta categoria é relativamente baixa. Porém, essa categoria representa o cenário em que os profissionais da indústria estão dizendo que é importante, embora não esteja ilustrado nos dados neste momento.

Estas informações foram retiradas diretamente do site da OWASP, com uma tradução não literal das informações. Vale ressaltar que não seriam top 10 vulnerabilidades, e sim grandes categorias de riscos, que englobam várias vulnerabilidades. 

Uma curiosidade é que nessa atualização foi utilizado no processo o uso de dados e estatísticas, mas não somente isso: foram utilizados dados de mais de 500 mil aplicações, fornecidos por um número não revelado de organizações, sendo algumas anônimas. Essa foi a maior e mais abrangente amostra de dados de segurança de aplicações já utilizada no ranking.

Para mais detalhes e informações complementares visite o site da OWASP e confira a publicação original na íntegra, juntamente com todas as informações sobre como o processo é realizado acessando o relatório do Top 10.

De onde surgem esses riscos de segurança?

No OWASP falamos dos 10 principais riscos, mas de onde surgem esses riscos e como são classificados? Basicamente é feito uma coleta dessas informações de diversas fontes, empresas, fabricantes, iniciativas privadas e Open Source. E é a partir dessa consolidação que conseguimos priorizar as 10 principais.

Os Firewalls de aplicação WEB (WAF) utilizam essa lista também como base de suas métricas de segurança, sendo um documento importante para a segurança e configuração de equipamentos.

A XLabs Security oferece o serviço de WAF, e respondendo a pergunta inicial do post, sim, nosso WAF protege as aplicações do TOP 10 OWASP e muito mais, pois como dito ao longo do texto, o Top 10 é o mínimo a ser levado em conta em segurança de aplicações web. Nossa plataforma monitora sites em tempo real e oferece uma zona de proteção avançada para aplicações web de todas as complexidades, que através do conceito de inteligência artificial consegue identificar e bloquear todos tipos de ataques cibernéticos. Sua eficácia pode ser testada gratuitamente por 15 dias, solicite sua avaliação gratuita!

Gostou do artigo? Compartilhe.

LinkedIn
Facebook
WhatsApp

Faça parte da nossa lista de emails!