JÁ SOU ALUNO

Quais as vulnerabilidades da Owasp Top 10?

Owasp é a sigla Open Web Application Security Project, traduzida literalmente como Projeto aberto de segurança de aplicativos da Web, e define uma organização internacional que não possui fins lucrativos e existe para auxiliar na melhoria da segurança web. 

Existindo há mais de vinte dois anos, a Owasp desempenha um papel fundamental na conscientização e educação sobre segurança de aplicativos da web em todo o mundo, fortalecendo uma comunidade onde especialistas, e profissionais de segurança compartilham conhecimentos e colaboram para tornar os aplicativos da web mais seguros.

A Owasp possui diversas ações e iniciativas, como projetos de código aberto para aplicativos web, conferências e eventos, documentos e guias. Dentro dessas ações, a OWASP Top 10, um relatório de segurança dos aplicativos web figura como um dos principais.

Neste artigo você descobrirá mais sobre ele e quais as 10 principais vulnerabilidades dos aplicativos web em 2023.

O que é o Owasp Top 10 e qual sua importância?

O relatório OWASP Top 10 é uma lista das dez principais ameaças à segurança de aplicativos da web, atualizada periodicamente para refletir as ameaças mais relevantes e emergentes, enfrentadas pela comunidade de segurança de software. 

Sua importância reside no fornecimento de orientações claras e práticas para desenvolvedores, empresas e profissionais de segurança, sobre os riscos de segurança mais críticos associados a aplicativos da web.

Vejamos agora as vulnerabilidades do OWASP Top 10 em 2023:

API1:2023 – Autorização em nível de objeto quebrado

APIs tendem a expor endpoints que lidam com identificadores de objetos, criando uma ampla superfície de ataque de problemas de controle de acesso em nível de objeto. As verificações de autorização em nível de objeto devem ser consideradas em todas as funções que acessam uma fonte de dados usando um ID do usuário. 

Essa primeira vulnerabilidade apresenta uma tendência já identificada na vulnerabilidade API3:2019 e na API6:2019,  que também que se concentram na manipulação de endpoints de API para obter acesso a dados não autorizados e normalmente permitidos.

API2:2023 – Autenticação quebrada

Os mecanismos de autenticação são frequentemente implementados incorretamente, permitindo que os invasores comprometam tokens de autenticação ou explorem falhas de implementação para assumir a identidade de outros usuários temporária ou permanentemente. Comprometer a capacidade de um sistema de identificar o cliente/usuário compromete a segurança geral da API.

API3:2023 – Autorização de nível de propriedade de objeto quebrado

Esta categoria combina API3:2019 Excessive Data Exposure e API6:2019 – Mass Assignment , com foco na causa raiz: a falta ou validação inadequada de autorização no nível da propriedade do objeto. Isso leva à exposição ou manipulação de informações por partes não autorizadas.

API4:2023 – Consumo irrestrito de recursos

Satisfazer solicitações de API requer recursos como largura de banda de rede, CPU, memória e armazenamento. Outros recursos como e-mails/SMS/telefonemas ou validação biométrica são disponibilizados pelos provedores de serviços por meio de integrações de API e pagos por solicitação. Ataques bem-sucedidos podem levar à negação de serviço ou ao aumento dos custos operacionais.

Preocupantemente, essa vulnerabilidade possui uma ligação com a API4:2019, que foca na proteção da disponibilidade de recursos para atender a requisições legítimas, mas com uso intensivo de recursos.

API5:2023 – Autorização de nível de função quebrada

Políticas complexas de controle de acesso com diferentes hierarquias, grupos e funções, e uma separação pouco clara entre funções administrativas e regulares, tendem a levar a falhas de autorização. Ao explorar esses problemas, os invasores podem obter acesso aos recursos e/ou funções administrativas de outros usuários.

API6:2023 – Acesso irrestrito a fluxos de negócios confidenciais

APIs vulneráveis ​​a esse risco expõem um fluxo de negócios – como comprar um ticket ou postar um comentário – sem compensar como a funcionalidade poderia prejudicar o negócio se usada excessivamente de maneira automatizada. Isso não vem necessariamente de bugs de implementação. A API6:2023 atrai invasores que exploram funcionalidades úteis para prejudicar os negócios, geralmente feitas com bots ou ameaças inteligentes.

API7:2023 – Falsificação de solicitação no servidor

Falhas de Server-Side Request Forgery (SSRF) podem ocorrer quando uma API está buscando um recurso remoto sem validar o URI fornecido pelo usuário. Isso permite que um invasor coaja o aplicativo a enviar uma solicitação elaborada para um destino inesperado, mesmo quando protegido por um firewall ou VPN.

API8:2023 – Configuração incorreta de segurança

As APIs e os sistemas que as suportam normalmente contêm configurações complexas, destinadas a tornar as APIs mais personalizáveis. Os engenheiros de software e DevOps podem perder essas configurações ou não seguir as práticas recomendadas de segurança quando se trata de configuração, abrindo a porta para diferentes tipos de ataques.

API9:2023 – Gerenciamento de estoque inadequado

As APIs tendem a expor mais endpoints do que os aplicativos web tradicionais, tornando a documentação adequada e atualizada altamente importante. Um inventário adequado de hosts e versões de API implantadas também é importante para mitigar problemas como versões de API obsoletas e endpoints de depuração expostos.

Esta nona vulnerabilidade é uma versão evoluída da API9:2019, evidenciando a importância de rastrear e gerenciar as superfícies de ataque de uma organização.

API10:2023 – Consumo inseguro de APIs

Os desenvolvedores tendem a confiar mais nos dados recebidos de APIs de terceiros do que nas informações do usuário e, portanto, tendem a adotar padrões de segurança mais fracos. Para comprometer APIs, os invasores buscam serviços integrados de terceiros em vez de tentar comprometer diretamente a API alvo.

A API10:2023 é uma vulnerabilidade nova e preocupante, pois exige que os invasores identifiquem e comprometam potencialmente outras APIs/serviços com os quais a API de destino está integrada.

O OWASP Top Ten 2023 apresenta evoluções e novas vulnerabilidades preocupantes, evidenciando a urgência da segurança para aplicativos web, bem como a capacitação dos profissionais das organizações. E a CECyber é parceira ideal para ajudar nessa busca.

A CECyber leva os melhores cursos de AppSec até você

Nossos cursos de AppSec da CECyber foram desenvolvidos para possibilitar a evolução e capacitação na área de segurança de aplicativos web. Possuímos o programa de Desenvolvimento Seguro, que busca estabelecer padrões de segurança na esteira de Desenvolvimento de Software, possibilitando aos alunos treinamento prático, codificação segura e exploração de vulnerabilidades em aplicações.
Quer saber mais? Clique aqui e saiba como a CECyber pode ajudar a sua empresa e equipe a cuidar da segurança nas aplicações.

Comments are closed.

25 de setembro de 2023
Comments Disabled

[email protected]

Av. Marquês de São Vicente, 576, 7º andar - Várzea da Barra Funda - São Paulo/SP - CEP 01139-000

(11) 3042-0490

(11) 99440-7801

Segunda a Sexta das 9h às 18h (exceto feriados)

Linkedin-in Facebook-f Instagram Youtube
Termos e Condições
Política de Privacidade
© Copyright - CECyber - Todos os direitos reservados.