Top 10 OWASP: As maiores ameaças para sua aplicação web

Transcript

1. Top 10 OWASP As maiores ameaças para sua aplicação web

2. RUAN BRANDÃO Engenheiro Backend | Remote Palestrante Estudante de Filosofia

   e sua relação com a tecnologia linkedin.com/in/ruanbrandao/ @rruanbrandao.bsky.social

3. Os três pilares da segurança Confidencialidade Integridade Disponibilidade

4. OWASP Open Worldwide Application Security Project Fundada em 2001 Comunidade

   aberta focada em permitir com que organizações desenvolvam APIs seguras e confiáveis Sem fins lucrativos, não associados a nenhuma empresa corporativa, mantida com trabalho voluntário e bancada pela OWASP foundation Produz documentos e pesquisa gratuitos

5. Top 10 OWASP | 2025 Começou em 2003, teve várias

   versões e acabou de lançar a versão de 2025 (100% atualizado) OWASP usa dados de quão explorável e qual o impacto técnico de cada vulnerabilidade Checa um banco de dados que contém todas as vulnerabilidades registradas publicamente em ferramentas de hardware e software (CVE), 175k vulnerabilidades registradas Utiliza esses dados para aplicar uma fórmula baseada em vários pontos como: • quão explorável é a vulnerabilidade • qual o impacto técnico • quantidade de ocorrências registradas

6. #10 Mishandling of Exceptional Conditions Ocorre quando um sistema falha

   em prevenir, detectar e responder a um cenário incomum
7. None
8. None

9. NOTES TO TAKE: • Sempre trate casos excepcionais, não fique

   só no happy path • Tenha testes automatizados para casos excepcionais • Validação de input em várias camadas (front, back, DB) • Ferramentas de logging e monitoramento

10. #9 Security Logging & Alerting Failures Ocorre quando erros, ataques

    e brechas no sistema ocorrem sem gerar resquícios, ou gerando mensagens inadequadas.

11. • Operador de planos de saúde infantis • Não detectou

    uma falha devido a falta de logging • Expôs aproximadamente 3,5 milhões de registros de saúde por mais de sete anos

12. NOTES TO TAKE: • Logs devem ser gerados para ações

    do sistema • Devem ter contexto • Devem ser íntegros e confidenciais • Erros que demandam ação do time devem gerar alertas • Um erro barulhento é ruim, mas um erro silencioso é pior

13. #8 Software or Data Integrity Failures Ocorre quando o sistema

    aceita código de fontes não confiáveis.

14. Pode vir de vários lugares: • CDN • Bibliotecas •

    Servidor DNS • Cookies • Commits no próprio projeto

15. NOTES TO TAKE • Code reviews • Checagem de fornecedores

    (CDN, DNS, etc) • Usar repositórios confiáveis de bibliotecas

16. #7 Authentication Failures Ocorre quando um atacante consegue enganar o

    sistema para reconhecer um acesso inválido como válido

17. id email senha 1 [email protected] password 2 [email protected] 12345678 3

    [email protected] senha-secreta
18. None
19. None
20. None

21. NOTES TO TAKE • Utilize padrões estabelecidos para autenticação •

    Autenticação em dois fatores • Não force usuários humanos a trocar senhas regularmente • Em caso de vazamento comunique os usuários e force a criação de uma senha nova

22. #6 Insecure Design Categoria ampla que abrange falhas de segurança

    na concepção do software
23. None
24. None

25. NOTES TO TAKE • Seguir padrões bem estabelecidos de segurança

    • Pensar em requisitos não funcionais do sistema (número de usuários, testes, edge cases, etc) • Esforço conjunto de engenharia, produto e segurança

26. #5 Injection Vulnerabilidade onde um usuário não confiável pode mandar

    um comando que vai ser executado indevidamente
27. None
28. None
29. None
30. None
31. None
32. None

33. NOTES TO TAKE: • Trate todo input de usuário como

    inseguro e trate antes de executar • Utilize padrões de frameworks e bibliotecas
34. None

35. #4 Cryptographic Failures Acontece quando algum ponto da aplicação tem

    a criptografia inconsistente, inexistente ou desatualizada.

36. NOTES TO TAKE • Use HTTPS em todos endereços públicos

    • Garanta adequação à Lei Geral de Proteção de Dados • Utilize padrões estabelecidos e atualizados de criptografia • Não armazene dados desnecessariamente

37. #3 Software Supply Chain Failures É uma categoria de vulnerabilidades

    que engloba vulnerabilidades ou código malicioso em ferramentas de terceiros

38. Disponível em: https://thehackernews.com/2025/10/phantomraven-malware-found-in-126-npm.html

39. NOTES TO TAKE • Só use dependências de lugares confiáveis

    (npm, hex, rubygems, etc.) • Só utilize dependências realmente necessárias • Mantenha dependências atualizadas • Remova dependências não utilizadas no código

40. "Code is a liability"

41. #2 Security Misconfiguration Ocorre quando alguma configuração de sistema, aplicação

    ou infra-estrutura gera uma vulnerabilidade.
42. None
43. None
44. None

45. NOTES TO TAKE • Reveja configurações padrão de bibliotecas e

    frameworks • Tenha um processo para revisar e rastrear mudanças de configuração • Onde for aplicável, trabalhar junto do time de segurança

46. #1 Broken Access Control Falhas que permitem que algum usuário

    execute ações sem a devida permissão
47. None
48. None
49. None

50. NOTES TO TAKE • Não use ids sequenciais como identificadores

    públicos • Cheque permissões em todos endpoints • Utilize padrões definidos da indústria • Lembre que autenticação é diferente de autorização

51. Conclusão

52. • Seguir padrões da indústria é importante • Princípio do

    menor privilégio • Segurança envolve tecnologia, processos e pessoas

53. Referências • OWASP: https://owasp.org/Top10/2025/ • Projeto do Top 10: https://github.com/OWASP/Top10

    • Banco de dados de vulnerabilidades: https://www.cve.org

54. Obrigado! Add com scrap no Linkedin: