Introdução a OWASP

Ivo Dias
3 min readJan 10, 2021

--

O que é?

(Open Web Application Security Project), ou Projeto Aberto de Segurança em Aplicações Web. Segundo o que encontramos no Wikipedia, é uma comunidade online que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web. Criada em 2001 por Mark Curphey, é famosa principalmente por sua lista com os 10 principais pontos de atenção para segurança da informação.

OWASP Top 10

É uma lista muita famosa, onde temos os principais pontos de atenção para a segurança das aplicações WEBs, sua versão mais recente foi disponibilizada em 2017, com os seguintes tópicos:

· Injeção de Código

· Quebra de Autenticação

· Exposição de Dados Sensíveis

· Entidades Externas de XML

· Quebra de Controle de Acesso

· Configuração Incorreta de Segurança

· Cross-Site Scripting (XSS)

· Deserialização Insegura

· Utilização de Componentes com Vulnerabilidades Conhecidas

· Log e Monitoramento Ineficientes

Vamos a uma prevê explicação de cada um deles.

Injeção de Código

Uma classe de ataques onde é utilizado uma brecha no sistema para que com uma entrada de dados externa, sejam feitas modificações, sua representante mais famosa é a injeção de SQL, onde normalmente em campos de login, são inseridos comandos em linguagem de manipulação de bando de dados, para obter informações ou acessar o sistema.

Quebra de Autenticação

Uma falha no sistema de autenticação permite que usuários sem as permissões exigidas, utilize o sistema. Um exemplo, é um usuário externo, que não teria permissões de acesso a um sistema, consegue fazê-lo devido a essa falha.

Exposição de Dados Sensíveis

O sistema não deve divulgar informações para quem não deve ter acesso a elas, principalmente alguns dados mais críticos, como exemplo, histórico médico, documentos ou dados bancários.

Entidades Externas de XML

Utiliza de uma má configuração no analisador XML para executar uma entidade externa.

Quebra de Controle de Acesso

Ocorre quando as configurações de acesso são feitas de forma incorreta, como quando informações que deveriam estar disponíveis para um grupo restrito ficam abertas a outros usuários.

Configuração Incorreta de Segurança

Erros nas configurações de segurança podem gerar riscos para o sistema, como colocar informações demais numa mensagem de erro, de forma a torná-la útil para o atacante.

Cross-Site Scripting (XSS)

Se utilizando da falta da validação de parâmetros de entrada ou respostas do servidor, permite a execução de códigos maliciosos.

Deserialização Insegura

Modifica informações se utilizando de uma falta de segurança no processo de recuperação de dados.

Utilização de Componentes com Vulnerabilidades Conhecidas

Quando um sistema tem seus dados técnicos divulgados, como linguagem e versões utilizadas, permite que vulnerabilidades dessas ferramentas sejam utilizadas no sistema.

Log e Monitoramento Ineficientes

Para a segurança do sistema, é preciso que o monitoramento dele nos permita corrigir os erros, pontos de atenção e resolver os problemas. Sem informações precisas, o sistema ficará vulnerável.

Esses são os 10 principais problema apontados no relatório, junto com uma explicação muito simples de cada um deles.
Para saber mais, recomendo a leitura desse teste que deixarei nas referências, ou uma pesquisa nos diversos artigos disponíveis na internet sobre o assunto. Também recomendo a formação da Alura sobre o tema.

Fontes:

Wikipedia

Análise de vulnerabilidades de segurança em sistemas de Internet Banking utilizando ferramentas de código aberto

Alura formação OWASP

--

--

Ivo Dias

MCC, MSLA and Microsoft Community Moderator. Currently work with DevOps and write articles about automation, IT support and script development