OWASP 2021: Top 10 de vulnerabilidades

A inovação de tecnologias da engenharia de software avança cada vez mais, e, com isso, as ameaças também avançam. Conhecer quais são as  principais vulnerabilidades a que o seu sistema pode estar sujeito, e como se prevenir é de extrema importância.

Por isso, o OWASP realiza relatórios periódicos, com estudos aprofundados, apontando quais são as principais vulnerabilidades da atualidade.

O Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos que colabora para que APIs sejam mais seguras.

Esta organização está ativa desde 2001 e disponibiliza gratuitamente ferramentas, artigos, metodologias, documentação e tecnologias.

Além de oferecer os meios, o OWASP também apoia e financia pesquisas de inovação em segurança.

Para definir a classificação de cada vulnerabilidade, o OWASP realizou um exame com, aproximadamente, 500 mil aplicações.

Esse resultado foi alcançado com a colaboração de diversas empresas, sendo uma parte que participou anonimamente. 

O relatório de 2021 contou com a maior e mais abrangente amostragem de dados de segurança em 20 anos do projeto.

Entre alguns dos colaboradores para esse estudo, é possível citar as empresas AppSec Labs, GitLab, Micro Focus, Sqreen, Cobalt.io, HackerOne, PenTest-Tools, Veracode, Contrast Security, HCL Technologies, Probely e WhiteHat (NTT).

A versão mais recente do OWASP Top 10, que celebra os 20 anos da instituição, traz algumas atualizações que valem destaque.

Para essa lista, três novas categorias foram adicionadas, além de quatro categorias que foram renomeadas e contam com novos escopos.

Essas mudanças trazem mais robustez ao relatório, com análises que acompanham quais problemas foram mais relatados no último ano.

Vamos te apresentar agora a lista atualizada do OWASP 2021, que traz as dez vulnerabilidades mais perigosas do momento (da mais perigosa à menos perigosa).

Além disso, vamos te mostrar como se proteger de cada uma delas. Ficou interessado? Então continue a leitura!

 

1. Quebra de Controle de Acesso

A quebra de controle de acesso, ou Broken Access Control, acontece quando os usuários conseguem agir além das permissões aplicadas, quando não deveria ocorrer dessa forma.

Esse tipo de falha costuma envolver a divulgação, modificação ou destruição de informações e dados.

Essa vulnerabilidade também pode afetar o desempenho do sistema e prejudicar, ou liberar sem restrições, o acesso de outros usuários.

A prevenção a essa vulnerabilidade inclui o reforço da proteção de dados sensíveis, como senhas, números de cartões de crédito e informações sob lei de privacidade.

Classificada como a quinta vulnerabilidade mais perigosa do último relatório, a quebra de controle de acesso aparece agora em primeiro lugar.

De acordo com os estudos do OWASP, em média, 3,81% dos aplicativos testados tinham uma ou mais fraquezas comuns (Common Weakness Enumerations ou CWEs) com mais de 318 mil ocorrências nesta categoria de risco. 

Os 34 CWEs mapeados para quebra de controle de acesso tiveram mais ocorrências em aplicativos do que qualquer outra categoria.

 

2. Cryptographic Failures

No último relatório, esta vulnerabilidade era conhecida como “exposição de dados confidenciais”. Com a nova nomenclatura, ela abrange mais questões sobre falhas de criptografia de dados.

Esta vulnerabilidade pode expor dados em trânsito e em repouso, podendo ser dados pessoais, financeiros, confidenciais ou comerciais.

Assim como a vulnerabilidade da primeira posição, também requer mais atenção quando pode infringir uma lei de proteção de dados, como a LGPD.

Anteriormente na terceira posição, agora as falhas de criptografia remetem diretamente ao problema raiz.

Dessa forma, o novo nome deixa claro que a solução para essa vulnerabilidade é o investimento em criptografia de dados sensíveis

 

3. Injection

As vulnerabilidades de tipo Injection podem ocorrer de diversas maneiras, prejudicando o desempenho do sistema.

Alguns exemplos podem incluir a injeção de dados maliciosos, com objetivo de extrair registros confidenciais, e edição de comandos do código.

Um dos caminhos que levam a essa vulnerabilidade é a não validação de dados inseridos pelos usuários, sem aplicação de filtros ou limpeza automatizada pelo sistema.

Classificado como a vulnerabilidade mais grave no último relatório, de 2017, o Injection caiu para a terceira posição.

Além disso, a categoria Cross-site Scripting agora está inclusa na categoria Injection.

Nos testes, 94% das aplicações foram testadas para injeção de dados maliciosos. Os resultados apresentaram uma taxa de incidência máxima de 19% e uma taxa de incidência média de 3,37%.

Os 33 CWEs mapeados nesta categoria têm o segundo maior número de ocorrências em aplicações, com 274 mil ocorrências.

 

4. Insecure Design

Embora não esteja diretamente ligado aos problemas de implementação, o Insecure Design é uma nova categoria no OWASP 2021.

Entre os pontos fracos do design inseguro, é possível identificá-los como  “design de controle ausente ou ineficaz“.

Para ter um design seguro, é preciso ter atenção à implementação, em trabalho conjunto com o front-end e à falta de perfis de risco de negócios, inerentes ao software ou sistema que está sendo desenvolvido.

A priorização da segurança do design foi um dos motivos para essa nova categoria ser adicionada ao ranking.

O OWASP recomenda que mais estudos sejam feitos para desenvolver técnicas de segurança para design e arquiteturas de sistemas.

Atualmente, a dificuldade para solucionar as vulnerabilidades em design esbarra no fato de que as medidas de segurança dos sistemas ainda não são pensadas para abrangerem o design.

 

5. Security Misconfiguration

Esta vulnerabilidade ocorre quando há erros nas configurações de segurança

O erro de segurança pode acontecer por ferramentas desatualizadas ou excesso de recursos ativos sem necessidade (como portas, serviços, páginas, contas, etc.).

Sem um processo de configuração de segurança de aplicativo, combinado e repetível, os sistemas correm um risco maior.

Para esta vulnerabilidades, 90% dos aplicativos foram testados para alguma forma de configuração incorreta, com uma taxa de incidência média de 4,5%

Foram mais de 208 mil ocorrências de CWEs mapeados para esta categoria de risco. 

No atual relatório, a Security Misconfiguration subiu uma posição. A antiga vulnerabilidade XML External Entities (XXE) foi incorporada a essa categoria.

 

6. Vulnerable and Outdated Components

Os erros por componentes vulneráveis e desatualizados, anteriormente conhecidos como Using Components with Known Vulnerabilities, estão ligados diretamente a desatualização de recursos.

O sistema pode estar vulnerável se há recursos desatualizados em uso.

A falta de varreduras para encontrar recursos desatualizados e o uso de sistemas que não possuem mais suporte são brechas para essa vulnerabilidade.

Muitas vezes, essa categoria está relacionada ao item anterior, de erros em configurações de segurança.

Com os resultados das pesquisas deste ano, essa categoria subiu três posições no ranking, uma vez que é um problema conhecido em que há dificuldade em testar e avaliar o risco

É a única categoria a não ter nenhuma Vulnerabilidade e Exposições Comuns (CVEs) mapeada para os CWEs incluídos, portanto, uma exploração padrão e pesos de impacto de 5,0 são considerados em suas pontuações.

 

7. Identification and Authentication Failures

Os problemas relacionados a essa vulnerabilidade ocorrem por falhas na identificação e autenticação de dados.

A confirmação da identidade do usuário, autenticação e gerenciamento de sessão são fundamentais para proteção contra ataques relacionados à autenticação.

Em relação ao último relatório (2017), essa vulnerabilidade caiu cinco posições.

Anteriormente conhecida como Broken Authentication, os dados utilizados em estudo agora estão diretamente relacionados a falhas de identificação.

Com essa queda no ranking, uma das possibilidades dos resultados obtidos é que a maior disponibilidade de estruturas padronizadas parece estar ajudando a evitar essa vulnerabilidade.

 

8. Software and Data Integrity Failures

As falhas de software e integridade de dados estão relacionadas ao código e à infraestrutura, quando não protegem o sistema contra violações de integridade. 

Isso pode ocorrer, por exemplo, quando um aplicativo depende de plug-ins, bibliotecas ou módulos de fontes não confiáveis, repositórios e redes de entrega de conteúdo (CDNs).

Essa vulnerabilidade também pode ser resultado de atualizações automáticas, baixadas sem verificação de integridade suficiente e aplicadas ao aplicativo anteriormente confiável. 

A vulnerabilidade de falhas de software e integridade de dados é uma das novas categorias incluídas no relatório de 2021, com foco em fazer suposições relacionadas a atualizações de software, dados críticos e pipelines de CI / CD sem verificar a integridade

A antiga categoria de Insecure Deserialization foi incorporada à essa nova categoria, mantendo a oitava posição do ranking.

 

9. Security Logging and Monitoring Failures

Anteriormente conhecida como Insufficient Logging & Monitoring, esta categoria serve para ajudar a detectar, escalar e responder às violações ativas. Sem registro e monitoramento, as violações não podem ser detectadas.

Esta vulnerabilidade subiu uma posição em relação ao ranking de 2017. A categoria foi expandida para incluir mais tipos de falhas, sendo um desafio para realizar testes e não está bem representada nos dados CVE / CVSS. 

No entanto, as falhas nesta categoria podem impactar diretamente a visibilidade, o alerta de incidentes e a perícia.

 

10. Server Side Request Forgery (SSRF)

As falhas de SSRF são novas no ranking e ocorrem sempre que um aplicativo da web busca um recurso remoto sem validar a URL fornecida pelo usuário. 

Este erro permite que um invasor force o aplicativo a enviar uma solicitação criada para um destino inesperado, mesmo quando protegido por um firewall, VPN ou outro tipo de lista de controle de acesso à rede.

Esta é uma vulnerabilidade que está ficando mais presente no dia a dia, já que os aplicativos da web fornecem, aos usuários finais, recursos convenientes.

Dessa forma, buscar uma URL se torna um cenário comum. Como resultado, a incidência de SSRF está aumentando. 

Além disso, a gravidade do SSRF está se tornando mais alta devido aos serviços em nuvem e à complexidade das arquiteturas.

Durante os estudos, os dados mostram uma taxa de incidência relativamente baixa, com cobertura de teste acima da média, junto com classificações também acima da média para potencial de exploração e impacto.

Porém, mesmo com resultados menos alarmantes, esta categoria já pode ficar no radar de possíveis vulnerabilidades que podem ser mais recorrentes ou perigosas.

 

Como se proteger das principais vulnerabilidades

O sistema Insider acompanha as atualizações das principais vulnerabilidades, oferecendo uma vasta cobertura para identificar brechas no código.

Com o scanner de vulnerabilidades é possível manter a boa gestão do código, com mais agilidade e segurança.

Solicite hoje mesmo o seu teste grátis e conte com a Insider para se proteger das principais vulnerabilidades do OWASP Top 10 2021.

Receba novidades:







    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *