O OWASP Top 10 lista os 10 maiores riscos ou vulnerabilidades em aplicações web. Atualmente em sua versão de 2013, visto que o documento é atualizado a cada 3 anos, seguem os riscos listados:
A1 – Injeção de código
A2 – Quebra de autenticação e Gerenciamento de Sessão
A3 – Cross-Site Scripting (XSS)
A4 – Referência Insegura e Direta a Objetos
A5 – Configuração Incorreta de Segurança
A6 – Exposição de Dados Sensíveis
A7 – Falta de Função para Controle do Nível de Acesso
A8 – Cross-Site Request Forgery (CSRF)
A9 – Utilização de Componentes Vulneráveis Conhecidos
A10 – Redirecionamentos e Encaminhamentos Inválidos
Por se tratar de aplicações web, o OWASP Top 10 não fala nada sobre o item III. Execução Maliciosa de Arquivos.
Magno Rodrigues, Security+
OWASP Paraiba - Chapter Leader
Twitter: @owasppb / @magnologan
O OWASP Top 10 de 2017 foi:
· Injeção de Código
· Quebra de Autenticação
· Exposição de Dados Sensíveis
· Entidades Externas de XML
· Quebra de Controle de Acesso
· Configuração Incorreta de Segurança
· Cross-Site Scripting (XSS)
· Deserialização Insegura
· Utilização de Componentes com Vulnerabilidades Conhecidas
· Log e Monitoramento Ineficientes
Top 10 Controles Preventivos:
O OWASP Top 10 Controles Preventivos é uma lista de técnicas de segurança que devem ser incluídos em cada projeto de desenvolvimento de software. Eles são ordenados por ordem de importância, sendo o primeiro o mais importante:
§ verificar a segurança cedo e frequentemente;
§ parametrizar consultas;
§ codificar dados;
§ validar todas as entradas;
§ implementar controles de identidade e autenticação;
§ implementar controles de acesso;
§ proteger os dados;
§ implementar LOG e detecção de intrusão;
§ aproveitar as estruturas de segurança e bibliotecas;
§ manipulação de erros e exceções.