O que é?
(Open Web Application Security Project), ou Projeto Aberto de Segurança em Aplicações Web. Segundo o que encontramos no Wikipedia, é uma comunidade online que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web. Criada em 2001 por Mark Curphey, é famosa principalmente por sua lista com os 10 principais pontos de atenção para segurança da informação.
OWASP Top 10
É uma lista muita famosa, onde temos os principais pontos de atenção para a segurança das aplicações WEBs, sua versão mais recente foi disponibilizada em 2017, com os seguintes tópicos:
· Injeção de Código
· Quebra de Autenticação
· Exposição de Dados Sensíveis
· Entidades Externas de XML
· Quebra de Controle de Acesso
· Configuração Incorreta de Segurança
· Cross-Site Scripting (XSS)
· Deserialização Insegura
· Utilização de Componentes com Vulnerabilidades Conhecidas
· Log e Monitoramento Ineficientes
Vamos a uma prevê explicação de cada um deles.
Injeção de Código
Uma classe de ataques onde é utilizado uma brecha no sistema para que com uma entrada de dados externa, sejam feitas modificações, sua representante mais famosa é a injeção de SQL, onde normalmente em campos de login, são inseridos comandos em linguagem de manipulação de bando de dados, para obter informações ou acessar o sistema.
Quebra de Autenticação
Uma falha no sistema de autenticação permite que usuários sem as permissões exigidas, utilize o sistema. Um exemplo, é um usuário externo, que não teria permissões de acesso a um sistema, consegue fazê-lo devido a essa falha.
Exposição de Dados Sensíveis
O sistema não deve divulgar informações para quem não deve ter acesso a elas, principalmente alguns dados mais críticos, como exemplo, histórico médico, documentos ou dados bancários.
Entidades Externas de XML
Utiliza de uma má configuração no analisador XML para executar uma entidade externa.
Quebra de Controle de Acesso
Ocorre quando as configurações de acesso são feitas de forma incorreta, como quando informações que deveriam estar disponíveis para um grupo restrito ficam abertas a outros usuários.
Configuração Incorreta de Segurança
Erros nas configurações de segurança podem gerar riscos para o sistema, como colocar informações demais numa mensagem de erro, de forma a torná-la útil para o atacante.
Cross-Site Scripting (XSS)
Se utilizando da falta da validação de parâmetros de entrada ou respostas do servidor, permite a execução de códigos maliciosos.
Deserialização Insegura
Modifica informações se utilizando de uma falta de segurança no processo de recuperação de dados.
Utilização de Componentes com Vulnerabilidades Conhecidas
Quando um sistema tem seus dados técnicos divulgados, como linguagem e versões utilizadas, permite que vulnerabilidades dessas ferramentas sejam utilizadas no sistema.
Log e Monitoramento Ineficientes
Para a segurança do sistema, é preciso que o monitoramento dele nos permita corrigir os erros, pontos de atenção e resolver os problemas. Sem informações precisas, o sistema ficará vulnerável.
Esses são os 10 principais problema apontados no relatório, junto com uma explicação muito simples de cada um deles.
Para saber mais, recomendo a leitura desse teste que deixarei nas referências, ou uma pesquisa nos diversos artigos disponíveis na internet sobre o assunto. Também recomendo a formação da Alura sobre o tema.
Fontes: