• OWASP Atualiza o Top 10 das Vulnerabilidades

    Os especialistas em segurança da Open Web Application Security Project (OWASP) atualizaram o seu Top 10 das vulnerabilidades de aplicações Web. A OWASP já teve outras listas lançadas anteriormente em 2004 e em 2007. A OWASP, através de Dave Wichers um de seus importantes membros, disse que na lista atualizada o projeto discute os riscos potenciais, bem como a existência de outras possíveis vulnerabilidades. As tentativas de priorizar as vulnerabilidades sem contexto, simplesmente não fazem sentido. Segundo o comunicado de Dave Wichers, este novo enfoque sobre os riscos se destina a conduzir as organizações para uma compreensão mais madura em relação à gestão da segurança de aplicações.



    A OWASP diz que a informação é agora também apresentada de forma mais clara em um caminho mais conciso, e isso inclui referências mais fortes para vários recursos que estejam abertamente disponíveis e podem ajudar a resolver cada problema, como o exemplo da OWASP's Enterprise Security API ( ESAPI ) e da Application Security Verification Standard (ASVS). O Top 10 da OWASP sobre os riscos que são mais suscetíveis de serem relevantes para os desenvolvedores Web em 2010 são:

    1- Injection (se aproveita de falhas que interagem com base de dados via SQL)
    2- Cross-Site Scripting (XSS) ( ativa ataques maliciosos ao injetar client-side script em páginas Web)
    3- Broken Authentication and Session Management (Quebra de Autenticação e Gerenciamento de Sessão)
    4- Insecure Direct Object References (ocorrência comum em aplicações PHP)
    5- Cross-Site Request Forgery (CSRF)
    6- Security Misconfiguration
    7- Insecure Cryptographic Storage
    8- Failure to Restrict URL Access (Falha para Restrição de Acesso à URL)
    9- Insufficient Transport Layer Protection
    10-Unvalidated Redirects and Forwards (Invalidar Redirecionamentos e Encaminhamentos)

    Open Web Application Security Project's Top 10 (lista de vulnerabilidades), não é a única iniciativa que tenta priorizar a segurança na Web e questões relacionadas que apresentem uma grande importância. Em fevereiro, a Mitre e o SANS Institute lançaram a segunda edição dos 25 erros de programação mais perigosos, constituindo-se em uma lista encomendada por diversas empresas e organizações, incluindo a OWASP.


    Saiba Mais:

    [1] OWASP : http://www.owasp.org/index.php/Main_Page
    [2] Top 10 : http://www.owasp.org/index.php/Categ...op_Ten_Project

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L