SegInfocast #81 – OWASP Top 10 2021 – 10 Principais Vulnerabilidades em Aplicações Web

Описание: Neste episódio do SegInfocast, Luiz Felipe Ferreira recebe Rafael Soares e Lucas Lins, que trarão as atualizações da novíssima versão 2021 do Top 10 da OWASP, uma referência em desenvolvimento seguro.

Do que se trata a OWASP e o seu Top 10?

Lucas informa que a OWASP é uma fundação sem fins lucrativos, que desenvolve diversos projetos visando aumentar a segurança das aplicações. Ela também organiza conferências ao redor do mundo sobre o tema. Outra frente importante trata de projetos de pesquisa e o famoso Top 10, que revela as principais vulnerabilidades web (categorias de risco).

Rafael complementa sobre a importância e valor da OWASP, por ser totalmente regida pela comunidade de segurança da informação, o que permite a criação e condução de frentes para os desenvolvedores e para os profissionais de testes. Outro ponto positivo é a visão precisa do que deve ser priorizado no intuito de corrigir as vulnerabilidades.

Quais as vantagens que os profissionais de Segurança da Informação obtêm ao conhecer a OWASP e o Top 10?

Lucas acredita que umas das principais vantagens, é saber quais são as ações de correção que devem ser priorizadas para minimizar a exposição dos ativos da empresa. Ele lembra que os resultados do Top 10, realmente refletem as vulnerabilidades dos testes que são realizados nos clientes.

O que deve ser feito com as versões anteriores do Top 10? Devem ser descartadas?

Na opinião do Lucas, nada deve ser descartado, já que vulnerabilidades antigas podem ser novamente exploradas. Rafael complementa que o Top 10 não é uma “bala de prata”, outros projetos devem ser utilizados para aumentar o nível de maturidade no que se diz respeito às vulnerabilidades de código.

Quais seriam as novidades da versão 2021 do Top 10 da OWASP?

Lucas revelou que a versão 2021 trouxe três grandes novidades nas categorias: a primeira, em design seguro (security design), a segunda em falhas de integridade de dados e software (software and data integrity failures) e por último a falsificação de solicitação do lado do servidor (server side request forgery).

A categoria do design seguro é bem ampla, englobando diversos tipos de fraquezas. O design seguro (que não deve ser confundido com implementação segura) é uma metodologia que garante que o código possa resistir aos principais métodos de ataque.

A segunda categoria, falhas de integridade de dados e software foca principalmente nas falhas oriundas das atualizações automáticas.

Já a última, falsificação de solicitação do lado do servidor, permite ao atacante acessar o lado servidor e assim podem direcionar para o domínio desejado.

Qual a principal vulnerabilidade do Top 10?

Em primeiro lugar está a quebra do controle de acesso (Broken Access Control), que estava em quinto lugar na lista de 2017. Trata-se de uma falha das permissões do usuário, que não poderia realizar ações além daquelas pré-estabelecidas. Para resolver o problema, deve-se tratar o controle de acesso no lado servidor.

Rafael lembra que as vulnerabilidades de aplicações tem evoluído ao longo dos anos. As próprias aplicações hoje são muito mais elaboradas. Ele entende que a injeção, por exemplo, de tanto que foi falado, já faz parte da cultura e por tal razão, perdeu posições na lista.

Há alguma outra mudança relevante na lista?

Lucas notou que a injeção se uniu com o XSS em uma única categoria. Ainda é um tema que merece atenção.

Existe algum documento prático para corrigir ou prevenir as vulnerabilidades?

Lucas sugeriu um guia de codificação segura desenvolvido pela OWASP. Trata-se de um checklist com diversas validações que deve ser incorporado ao ciclo de vida do desenvolvimento. O portal SegInfo tem um post detalhado deste guia.

Rafael lembra que a OWASP também possui outros guias com uma abordagem mais pró-ativa, com rotina de testes, monitoramento, etc.

Onde podemos encontrar cursos e certificações sobre desenvolvimento seguro?

A Academia Clavis possui o curso de desenvolvimento seguro baseado na certificação da EXIN. Por ser agnóstico em relação a linguagem de programação, é indicado para qualquer desenvolvedor que queira melhorar o seu código e prevenir as aplicações contra ataques.

Ouça agora mesmo o SegInfocast #81 e deixe seu like! Comente aqui também para deixar suas dúvidas e/ou sugestões de novos temas que queira ouvir!