OWASP – top 10 problemas de segurança de software no desenvolvimento - Blog CMMI & MPS.Br

OWASP – top 10 problemas de segurança de software no desenvolvimento

By on April 20, 2012

É comum a pergunta: “Este sistema segue as boas práticas de segurança de software? Atende o OWASP? Ele é seguro”. Normalmente a resposta é sim, mas você já deve ter se perguntado “Como garanto isso?”, “O que é segurança de software”, “o que é OWASP” ou “Quais são os problemas mais comuns de segurança de software?”. Felizmente para nos ajudar nesta tarefa existe o OWASP (Open Web Application Security Project), que há muito tempo estuda a segurança de software em especial no ambiente web e ajuda a comunidade de desenvolvimento à identificar e tratar estas vulnerabilidades. No site da OWASP há uma lista com as 10 vulnerabilidades mais comuns em segurança de software, e também poderiamos dizer que são as mais usadas.

OWASP: Top 10 riscos em segurança de software web

1. Injection

Injection flaw como SQL, ocorrem quando os dados não seguros são enviados a um intérprete como parte do comando ou consulta. Tenta-se enganar o interpretador que executará comandos suspeitos com o objetivo de burlar a segurança de software e coletar dados. O OWASP tem recomendações de como tratar Injection.

2. Cross-Site Scripting (XSS)

Segunda na lista do OWASP, está vulnerabilidade ocorre sempre que um aplicativo obtém dados não seguros e envia ao navegador web sem validação. A falha XSS permite executar scripts no navegador da vítima e pode-se roubar sessões do usuário ou redirecionar à sites fake ou mal intencionados.

3. Broken Authentication and Session Management

É um problema de segurança de software muito comum. Busca-se quebrar os mecanismos de autenticação e gerenciamento de sessão que por muitas vezes são implementadas de modo falho, permitindo assim o roubo de senhas, chaves, tokens de sessão ou falhas de execução que permitam assumir a identidade de outros usuários. Está há muito tempo na lista do OWASP

4. Insecure Direct Object References

Acontece quando o programador expõe uma referência a um objeto de implementação interna como um arquivo, diretório ou chave de banco de dados. Sem um mecanismo de segurança de software os invasores podem manipular estas referências para acessar dados não autorizados.

5. Cross-Site Request Forgery (CSRF)

Neste tipo de ataque o navegador da vítima envia uma requisição à uma aplicação web vulnerável como se fosse a vítima executando tal ação. Segundo o OWASP, este problema de segurança de software acontece em especial com cavalos de tróia.

6. Security Misconfiguration

Toda aplicação deve ter seu ambiente muito bem configurado e seguro. Deve-se ter cuidado com o framework, servidor de aplicação, servidor de serviços, servidor de dados, de componentes e outros. Todos estes devem ser configurados seguindo as boas práticas de segurança de software. Não se pode esquecer de manter os servidores atualizados com as últimas versões recomendadas pelo fabricante.

7. Insecure Cryptographic Storage

Diversas aplicações web não protegem ou criptografam dados sensíveis tais como cartão de crédito, conta bancária, CPF, CNPJ e outros. Isto é básico na segurança de software. Os atacantes buscam roubar estes dados ou manipula-los de acordo com suas ações mal intencionadas.

8. Failure to Restrict URL Access

Ocorre quando se pode acessar uma página apenas pelo seu endereço sem o devido controle de acesso. Um usuário autenticado pode acessar a página de administração de usuários se apenas conhecer seu endereço (e o sistema não controlar isto). Este tipo de vulnerabilidade de segurança de software pode ser facilmente corrigido mantendo o servidor atualizado.

9. Insufficient Transport Layer Protection

Está vulnerabilidade de segurança de software ocorre quando as aplicações falham em proteger os dados trefedados na rede. Muito disto ocorre por algorítimos fracos, certificados inválidos, certificados expirados ou até mesmo o uso incorreto das normas de segurança de software.

10. Unvalidated Redirects and Forwards 

O constante redirecionamento para outras páginas ou sites sem a devida validação pode facilitar a entrada de pessoas mal intencionadas à redirecionar as vítimas à sites de phishing, malware, ou acessar páginas não autorizadas.

Estes são os top 10 problemas de segurança de software no desenvolvimento web, o OWASP tem recomendações para tratar cada uma.

 

About Washington Souza

Black Belt, Washington Souza tem mais de 10 anos de experiência com gestão. Participou de implantações em todos os níveis CMMI e MPS.Br A. Gosta muito de Six Sigma e gestão como um todo.

One Comment

  1. Jaquelyn Krug

    April 16, 2017 at 6:47 pm

    Awesome post.Much thanks again.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.