OWASP Top 10 de 2021

Olá, querido (a) aluno(a)!

O OWASP Top 10 é uma referência essencial no mundo da segurança de aplicativos, e sua última edição, o OWASP Top 10 de 2021, trouxe importantes mudanças e aprimoramentos. Neste artigo, vamos explorar as metodologias por trás desta edição e entender como as categorias foram estruturadas e selecionadas com base em dados, visando uma visão mais precisa das ameaças cibernéticas.

Uma das mudanças cruciais nesta edição é a maior ênfase nos dados, embora não cegamente. Os pesquisadores de segurança de aplicativos geralmente levam tempo para descobrir novas vulnerabilidades e maneiras de testá-las. Essas descobertas precisam ser integradas em ferramentas e processos, o que pode levar anos. Para equilibrar essa visão baseada em dados, a pesquisa da comunidade desempenhou um papel fundamental. Consultar especialistas em segurança e desenvolvimento de aplicativos na linha de frente permitiu identificar fraquezas essenciais que os dados ainda não refletiam.

A forma como as categorias foram estruturadas também sofreu alterações significativas. Nas edições anteriores, os dados se concentravam em um conjunto restrito de aproximadamente 30 Common Weakness Enumeration (CWEs) e, às vezes, havia espaço para descobertas adicionais. No OWASP Top 10 de 2021, essa abordagem foi abandonada em favor de uma coleta de dados mais aberta, sem restrições de CWEs. Isso permitiu rastrear a prevalência de quase 400 CWEs na população de aplicativos, fornecendo uma visão mais abrangente das ameaças.

A seleção das categorias também sofreu alterações substanciais. Em edições anteriores, as categorias eram escolhidas com base na taxa de incidência e, em seguida, classificadas com base em experiência e critérios como explorabilidade, detectabilidade e impacto técnico. Em 2021, a intenção era utilizar dados para avaliar a explorabilidade e o impacto técnico, sempre que possível.

Para alcançar esse objetivo, foram coletados dados do OWASP Dependency Check, incluindo pontuações de exploração do Common Vulnerability Scoring System (CVSS) e pontuações de impacto agrupadas por CWEs relacionados. No entanto, isso exigiu esforços adicionais devido às diferenças entre as versões do CVSS (CVSSv2 e CVSSv3) e suas fórmulas de cálculo. As mudanças nas pontuações de exploração e impacto entre essas versões foram levadas em consideração ao avaliar a gravidade das vulnerabilidades.

O conjunto de dados extraído do National Vulnerability Database (NVD) continha 125 mil registros de CVEs mapeados para CWEs, com 241 CWEs exclusivos mapeados para CVEs. Dessas, 62 mil CWEs tinham uma pontuação CVSSv3, representando aproximadamente metade do conjunto de dados.

Para determinar as pontuações de exploração e impacto médias para o OWASP Top 10 de 2021, todos os CVEs com pontuações CVSS foram agrupados por CWE e ponderados com base na população que tinha pontuações CVSSv3, juntamente com a população restante de pontuações CVSSv2. Isso resultou em uma média geral que foi mapeada para as CWEs no conjunto de dados, fornecendo as pontuações de Exploração e Impacto (Técnico) usadas na avaliação de risco.

No OWASP Top 10 de 2021, a estrutura das categorias foi expandida para incluir uma ampla variedade de Common Weakness Enumeration (CWEs) que representam ameaças significativas à segurança de aplicativos. A seguir, apresentaremos um resumo das categorias incluídas nesta edição:

A01 – Quebra de Controle de Acesso: Esta categoria aborda vulnerabilidades que permitem que um usuário contorne as restrições de acesso, obtendo acesso não autorizado a recursos ou dados sensíveis. Tais falhas representam sérias ameaças à confidencialidade e integridade dos sistemas.

A02 – Falhas Criptográficas: Problemas relacionados à criptografia podem levar à exposição de informações sensíveis. Isso inclui erros na implementação de algoritmos criptográficos e gerenciamento inadequado de chaves.

A03 – Injeção: Vulnerabilidades de injeção, como SQL Injection e Cross-Site Scripting (XSS), permitem que um atacante insira código malicioso em um aplicativo, comprometendo a execução do mesmo e expondo dados sensíveis.

A04 – Design Inseguro: Esta categoria aborda problemas fundamentais de design de aplicativos que podem resultar em falhas de segurança significativas. Um design inadequado pode permitir que ameaças se infiltrem no sistema.

A05 – Configuração Incorreta de Segurança: Configurações incorretas ou negligenciadas podem abrir portas para ataques. A falta de configurações seguras pode expor aplicativos a ameaças como acesso não autorizado.

A06 – Componentes Vulneráveis e Desatualizados: Utilizar componentes de terceiros desatualizados ou vulneráveis pode deixar seu aplicativo exposto a ataques conhecidos. Manter todos os componentes atualizados é fundamental para mitigar essa ameaça.

A07 – Falhas de Identificação e Autenticação: Problemas relacionados à autenticação, como senhas fracas ou processos de autenticação inadequados, podem permitir que invasores acessem contas e informações confidenciais.

A08 – Falhas de Software e Integridade de Dados: Vulnerabilidades que comprometem a integridade dos dados ou causam falhas de software podem resultar em mau funcionamento do sistema e exposição a ameaças.

A09 – Falhas de Registro e Monitoramento de Segurança: A falta de um sistema eficaz de registro e monitoramento de eventos de segurança pode tornar difícil a detecção de atividades suspeitas e a resposta a incidentes.

A10 – Falsificação de Solicitação do Lado do Servidor (SSRF): Essa categoria lida com vulnerabilidades que permitem que um atacante manipule solicitações feitas pelo aplicativo para acessar recursos internos ou executar ações indesejadas no servidor.

Essas categorias refletem as ameaças emergentes e contínuas no cenário de segurança de aplicativos. O OWASP Top 10 de 2021 fornece às organizações um guia valioso para identificar e abordar essas vulnerabilidades, ajudando a fortalecer a segurança de seus aplicativos e proteger seus dados e ativos contra ameaças cibernéticas em constante evolução. É fundamental para qualquer empresa que busca garantir a segurança de seus sistemas e proteger a confiança de seus clientes.

Vamos ver como essa teoria poderá vir ou já vieram em questões de concurso?

1) Ano: 2023 Banca: FCC Órgão: Copergás – PE Prova: FCC – 2023 – Copergás – PE – Analista Sistemas

O OWASP Top 10 2021 elenca os problemas de segurança mais comuns e mais importantes no contexto das aplicações web. O problema de segurança que ocupa a primeira posição é: 

Alternativas

A) Falha criptográfica.

B) Injeção.

C) Quebra de controle de acesso.

D) Design inseguro.

E) Server-Side Request Forgery.

Gabarito: C

Comentário: No OWASP Top 10 2021, a vulnerabilidade que ocupa a primeira posição é a “Quebra de controle de acesso.” Essa vulnerabilidade envolve falhas no sistema de controle de acesso que permitem que usuários não autorizados acessem recursos ou funcionalidades restritas. É uma vulnerabilidade crítica que pode resultar na exposição de informações confidenciais e no comprometimento da segurança das aplicações web. 

2) Ano: 2023 Banca: FGV Órgão: DPE-RS Prova: FGV – 2023 – DPE-RS – Analista – Área de Apoio Especializado – Tecnologia da Informação

A analista Lara foi incumbida de revisar a segurança de determinado aplicativo, devendo considerar as descrições e recomendações do ranking de falhas de software Open Worldwide Application Security Project (OWASP) Top 10 2021. Lara concentrou a revisão na busca por violações ao princípio da negação por padrão, conforme descrição da primeira categoria do ranking. Sendo assim, Lara concentrou a revisão de segurança nas falhas relacionadas à categoria do OWASP Top 10 2021: 

A) Injeção; 

B) Falhas Criptográficas;

C) Quebra de Controle de Acesso;

D) Configuração Incorreta de Segurança;

E) Falhas de Identificação e Autenticação.

Gabarito: C

Comentário: Vejam como as bancas copiam umas as outras, somente mudando o texto da pergunta! ; ) 

No OWASP Top 10 2021, a vulnerabilidade que ocupa a primeira posição é a “Quebra de controle de acesso.” Essa vulnerabilidade envolve falhas no sistema de controle de acesso que permitem que usuários não autorizados acessem recursos ou funcionalidades restritas. É uma vulnerabilidade crítica que pode resultar na exposição de informações confidenciais e no comprometimento da segurança das aplicações web.

Então é isso! 

Bons estudos e até o nosso próximo artigo.

Prof. Jósis Alves

Analista de TI no Supremo Tribunal Federal