OWASP Top 10 para 2021 — Série de vídeo de lições no Lightboard
Proteja suas aplicações da Web contra riscos novos e alarmantes
O OWASP Top 10 é um amplo consenso sobre os riscos de segurança mais críticos para aplicativos da web. A atualização de 2021 fornece orientação para ajudar a proteger aplicativos e arquiteturas da web modernos contra explorações, abusos e configurações incorretas, bem como recomendações para mitigar novos riscos envolvendo cadeias de suprimentos de software, pipelines de CI/CD e software de código aberto.
Assista ao OWASP Top 10 para 2021 — Série de lições no Lightboard, na F5 DevCentral, e veja em detalhes o novo OWASP Top 10 e aprenda:
- Como o OWASP cria a sua lista dos 10 principais riscos de segurança mais críticos para as aplicações Web.
- Principais mudanças para 2021, incluindo a recategorização do risco para alinhar os sinais às causas-raiz.
- Quando cada risco pode vir a ocorrer, por que é importante e como melhorar a sua postura de segurança.
O Open Web Application Security Project (OWASP) é uma fundação sem fins lucrativos que trabalha para melhorar a segurança do software. O OWASP mantém uma variedade de projetos, incluindo o documento de conscientização padrão sobre os 10 principais riscos de segurança de aplicativos da web para desenvolvedores e profissionais de segurança.
Visão geral do OWASP Top 10
John começa explicando o que é o OWASP Top 10. Ele destaca temas como reorientação de riscos em torno de sintomas e causas raiz, novas categorias de risco e arquiteturas de aplicativos modernas. Acompanhe um vídeo sobre cada um dos 10 principais riscos.
10 principais OWASP de 2021: Controle de acesso desfeito
94% dos aplicativos testados apresentaram alguma forma de controle de acesso quebrado. Falhas podem resultar em divulgação não autorizada, modificação ou destruição de dados e aumento de privilégios, além de levar à apropriação indébita de conta (ATO), violação de dados, multas e danos à marca.
10 principais OWASP de 2021: Falhas Criptográficas
Falhas criptográficas, anteriormente conhecidas como "Exposição de Dados Sensíveis", levam à exposição de dados confidenciais e ao sequestro de sessões de usuários. Apesar da ampla adoção do TLS 1.3, protocolos antigos e vulneráveis ainda estão sendo habilitados.
10 principais OWASP de 2021: Injeção
Injeção é uma classe ampla de vetores de ataque em que entradas não confiáveis alteram a execução do programa do aplicativo. Isso pode levar ao roubo de dados, perda de integridade de dados, negação de serviço e comprometimento total do sistema. A injeção não é mais o maior risco, mas ainda é formidável.
10 principais OWASP de 2021: Design Inseguro
A segurança precisa ser inerente aos aplicativos. Um design seguro ainda pode ter defeitos de implementação que levam a vulnerabilidades. Um design inseguro não pode ser corrigido por uma implementação perfeita.
10 principais OWASP de 2021: Configuração incorreta de segurança
A configuração incorreta de segurança é uma das principais fontes de violações na nuvem. Aprenda o que fazer e evitar, pois o desenvolvimento de aplicativos modernos, a reutilização de software e a expansão arquitetônica entre nuvens aumentam esse risco.
10 principais OWASP de 2021: Componentes Vulneráveis e Desatualizados
Explorações de software de código aberto estão por trás de muitos dos maiores incidentes de segurança. A recente vulnerabilidade Log4j2 é talvez o risco mais sério nesta categoria até o momento.
10 principais OWASP de 2021: Falhas de Identificação e Autenticação
É fundamental confirmar a identidade e usar autenticação forte e gerenciamento de sessão para se proteger contra abuso de lógica de negócios. A maioria dos ataques de autenticação são atribuídos ao uso contínuo de senhas. Credenciais comprometidas, botnets e ferramentas sofisticadas oferecem um ROI atraente para ataques automatizados, como o credential stuffing.
10 principais OWASP de 2021: Falhas de Integridade de Software e Dados
Esta nova categoria de risco se concentra em fazer suposições relacionadas a atualizações de software, dados críticos e pipelines de CI/CD sem verificar a integridade. O ataque à cadeia de suprimentos da SolarWinds é um dos mais prejudiciais que já vimos.
10 principais OWASP de 2021: Falhas de monitoramento e registro de segurança
Sem registrar e monitorar adequadamente as atividades do aplicativo, as violações não podem ser detectadas. Não fazer isso impacta diretamente a visibilidade, os alertas de incidentes e a perícia. Quanto mais tempo um invasor não for detectado, maior a probabilidade de o sistema ser comprometido.
10 principais OWASP de 2021: Falsificador de Solicitação do Lado do Servidor
Falhas de SSRF ocorrem quando um aplicativo web busca um recurso remoto sem validar a URL fornecida pelo usuário. Os invasores podem coagir o aplicativo a enviar uma solicitação para um destino inesperado, mesmo que ele esteja protegido por um firewall, VPN ou outra lista de controle de acesso à rede (ACL).