Lista dos 10 Principais da OWASP

A cada três anos, o Open Web Application Security Project (OWASP) publica a sua lista OWASP Top 10 de falhas de segurança derivadas de dados da indústria e pesquisa independente extensiva. Estas listas contêm as falhas de segurança mais comuns e mais frequentemente exploradas.

As listas dos 10 principais são amplamente utilizadas por programadores e organizações que desenvolvem ou implementam aplicações web para se referirem a esta lista e garantirem que as maiores categorias de vulnerabilidades são mitigadas durante o desenvolvimento ou implementação.

A OWASP é uma organização sem fins lucrativos de âmbito mundial que se concentra na melhoria da segurança de software. A principal missão da OWASP é garantir que a segurança de software seja visível e fornecer insights e ferramentas para ajudar a melhorar a segurança das aplicações a nível global.

As listas OWASP Top 10 são criadas para várias categorias, embora a lista OWASP Top 10 mais frequentemente utilizada seja a de Segurança de Aplicações Web. A lista Top 10 atual a partir de 2017 inclui as seguintes vulnerabilidades de websites:

• A1. Injeção
• A2. Autenticação Quebrada
• A3. Exposição de Dados Sensíveis
• A4. Entidades Externas XML (XXE)
• A5. Controlo de Acesso Quebrado
• A6. Má Configuração de Segurança
• A7. Cross-Site Scripting (XSS)
• A8. Desserialização Insegura
• A9. Utilização de Componentes com Vulnerabilidades Conhecidas
• A10. Registo e Monitorização Insuficientes

É importante compreender que o OWASP Top 10 não é uma lista exaustiva de todas as vulnerabilidades atuais. São apenas as vulnerabilidades mais comuns que são descobertas. Deve-se ter cuidado ao utilizar a lista OWASP para planear o desenvolvimento ou testes de implementação.

O primeiro passo para evitar as 10 principais vulnerabilidades é compreender totalmente as vulnerabilidades e evitar técnicas e ferramentas de codificação de websites que deixam a sua organização exposta a estas ameaças. Uma boa prática é usar frameworks de codificação que tenham proteção incorporada contra vulnerabilidades comuns.

No entanto, mesmo com as práticas de codificação mais cuidadosas, as vulnerabilidades podem surgir devido a erro humano, alteração de código, software de terceiros e ameaças em evolução. Portanto, é fundamental que automatize a proteção do seu site com um firewall de aplicações web (WAF).

A Barracuda oferece um Free Vulnerability Manager que verificará automaticamente o seu website em busca de centenas de vulnerabilidades conhecidas, incluindo as 10 principais da OWASP. Esta ferramenta gratuita produz um relatório que detalha os problemas encontrados e a ação corretiva necessária para resolver cada problema. Este relatório pode então ser carregado no Barracuda Web Application Firewall, que criará políticas para corrigir automaticamente a maioria dos problemas.

Para manter a proteção contra as ameaças mais recentes, o Barracuda Web Application Firewall oferece proteção contínua ao site. Utiliza tecnologias de análise poderosas, baseadas na nuvem, para inspecionar as suas aplicações online, quer já estejam em produção ou ainda em desenvolvimento. Identifica e corrige automaticamente quaisquer vulnerabilidades não corrigidas, incluindo aquelas listadas na lista OWASP Top 10, mas também muitas outras, como ataques de Denial of Service (DoS) e ameaças de dia zero.

O Barracuda Web Application Firewall garante que as suas aplicações online estejam seguras contra a utilização como vetores de ameaça na sua rede. E, ao automatizar uma parte crítica de cada processo de desenvolvimento de aplicações, acelera o ciclo geral de DevOps, permitindo-lhe implementar aplicações seguras sem ter de esperar pelo processo manual tradicional de auditoria de segurança, que pode ser tanto demorado como pouco fiável.