• OWASP: Lista dos 10 Principais Riscos de Segurança Web

    O OWASP (Open Web Application Security Project) publicou recentemente sua lista das 10 mais importantes riscos de segurança para as aplicações web. Em uma atualização da lista de 2010, a organização percebe que as ameaças como os ataques do tipo XSS (Cross-Site Scripting) e CSRF (Cross-Site Request Forgery) caíram em importância, e problemas com quebra de autenticação e procedimentos de gerenciamento de seções, subiram para o segundo lugar da lista. Enquanto isso, a injeção de código continua em seu primeiro lugar no topo da lista, inabalável.


    Lista em Inglês dos 10 mais riscos de segurança nas aplicações web (entre parênteses, a sua respectiva colocação no ano de 2010):

    1. Injection (1)
    2. Broken Authentication and Session Management (3)
    3. Cross-Site Scripting (XSS) (2)
    4. Insecure Direct Object References (4)
    5. Security Misconfiguration (6)
    6. Sensitive Data Exposure (7/9)
    7. Missing Function Level Access Control (8)
    8. Cross-Site Request Forgery (CSRF) (5)
    9. Using Known Vulnerable Components (-)
    10. Unvalidated Redirects and Forwards (10)


    O relatório OWASP Top Ten foi publicado pela primeira vez há 10 anos atrás, e é considerada um recurso de classificação respeitado entre desenvolvedores web e especialistas em segurança na rede. O relatório é publicado a cada 3 anos, e recentemente seu foco tem mudado mais para riscos de segurança do que potenciais vulnerabilidades. O novo relatório foi compilado com base em mais de 500.000 vulnerabilidades em milhares de aplicações provenientes de centenas de companhias.

    A OWASP fundiu ambas, as entradas para armazenagem criptográfica insegura e proteção de camada de transporte insuficiente, em uma nova categoria chamada "exposição de dados sensíveis" que lida com problemas de segurança referentes a vazamentos de dados em geral. De forma similar, a entrada de 2010 para "failure to restrict URL access" (no Português do brasil, "falha na restrição de acesso URL"), foi diversificada em uma entrada mais generalista para problemas de controle de acesso a nível de função, porque existem muitas maneiras - não apenas via URLs - de se acessar a funcionalidade de uma aplicação web moderna.

    Uma categoria completamente nova foi a introdução para administradores que utilizam componentes vulneráveis conhecidos como bibliotecas, frameworks e módulos. No relatório de três anos atrás, isso era incluído com na categoria "erros de configuração de segurança", mas a OWASP disse que esse tipo de problema se tornou importante o suficiente para ter sua própria entrada na lista.

    Saiba Mais:

    - Heise Online: OWASP top ten of web application security risks released (em Inglês)
Visite: BR-Linux ·  VivaOLinux ·  Dicas-L