O OWASP (Open Web Application Security Project) lançou o novo Top 10 com as principais vulnerabilidades identificadas nos aplicativos Web, e para que as empresas mantenham seus softwares seguros, é essencial conhecer as mudanças da lista.
Quais foram as principais mudanças?
O primeiro ponto é que a falha Injection, que ocupava a posição nº 1 desde 2010, caiu para terceiro lugar no ranking, sendo substituída pela “Broken Access Control”, identificada como a mais crítica.
A gravidade desse tipo de erro é notável quando pensamos que qualquer brecha encontrada nos acessos pode permitir que hackers consigam dados críticos e lancem ataques em outras áreas de sua infraestrutura e interrompam suas operações de negócios. Por isso os DevOps e desenvolvedores precisam superar o desafio de assegurar a existência de controles de acesso confiáveis no aplicativo, mesmo com as mudanças que ele venha a ter ao longo do tempo.
Outro ponto na nova listagem foi a vulnerabilidade de nº2, que além de subir uma posição em relação à anterior, foi renomeada para “Cryptographic Failues”. A relevância dessa categoria se dá especialmente devido ao aumento das violações de dados, com golpes cada vez mais elaborados.
Além das movimentações entre os Top 10, foi possível perceber a entrada de novas falhas que precisam de atenção, sendo: “Insecure Design”, “Software and Data Integrity Failues” e “Server-Side Request Forgery (SSRF)”.
O Top 10 2021 ficou da seguinte forma:
- Quebra de Controle de Acesso
- Falhas Criptográficas
- Injeção
- Design Inseguro
- Configuração Insegura
- Componente Desatualizado e Vulnerável
- Falha de Identificação e Autenticação
- Falha na Integridade de Dados e Software
- Falhas de registro e monitoramento de segurança
- Server Side Request Forgery (SSRF)
E como se proteger?
Primeiramente é necessário entender que a segurança dos aplicativos precisa ser uma preocupação para as organizações e que processos DevSecOps devem ser implementados, especialmente com a divulgação das principais vulnerabilidades.
É importante também entender que apesar de não haver uma única ferramenta que proteja todas as vertentes da lista, é possível contar com soluções para pontos cruciais, como as oferecidas pela Outpost 24, para assegurar o seu DevOps.
Fale com os especialistas da M3Corp e ajude os seus clientes a terem aplicativos seguros!x
Referência: https://outpost24.com/blog/owasp-top-10-2021-is-out