Curso de OWASP Top 10 2025

A01:2025 - Controle de Acesso Defeituoso
A02:2025 - Configuração Insegura
A03:2025 - Falhas na Cadeia de Suprimento de Software
A04:2025 - Falhas Criptográficas
A05:2025 - Injeção
A06:2025 - Design Inseguro
A07:2025 - Falhas de Autenticação
A08:2025 - Falhas na Integridade do Software ou Dados
A09:2025 - Falhas em Log e Alerta de Segurança
A10:2025 - Tratamento Improvado de Condições Excepcionais

A01:2025 Controle de Acesso Defeituoso - O controle de acesso impõe políticas para que os usuários não possam agir fora das suas permissões intencionais. As falhas geralmente levam à divulgação, modificação ou destruição não autorizada de todas as informações, ou ao desempenho de uma função de negócios fora dos limites do usuário.

A02:2025 Configuração Insegura - A configuração insegura ocorre quando um sistema, aplicativo ou serviço em nuvem é configurado incorretamente do ponto de vista de segurança, criando vulnerabilidades.

A03:2025 Falhas na Cadeia de Suprimento de Software - As falhas na cadeia de suprimento de software são rupturas ou comprometimentos no processo de construção, distribuição ou atualização de software. Elas são frequentemente causadas por vulnerabilidades ou alterações maliciosas em códigos de terceiros, ferramentas ou outras dependências que o sistema utiliza.

A04:2025 Falhas Criptográficas - Em geral, todos os dados em trânsito devem ser criptografados no nível de transporte (camada 4 do OSI). Obstáculos anteriores, como desempenho da CPU e gerenciamento de chaves privadas ou certificados, são agora tratados por CPUs com instruções projetadas para acelerar a criptografia (por exemplo: suporte AES) e o gerenciamento de chaves privadas e certificados sendo simplificado por serviços como LetsEncrypt.org, com fornecedores de nuvem principais oferecendo serviços de gerenciamento de certificados ainda mais integrados para suas plataformas específicas. Além de garantir a segurança no nível de transporte, é importante determinar quais dados precisam ser criptografados em repouso e quais dados precisam de criptografia adicional em trânsito (no nível do aplicativo, camada 7 do OSI). Por exemplo, senhas, números de cartão de crédito, registros de saúde, informações pessoais e segredos comerciais requerem proteção extra, especialmente se esses dados estiverem sujeitos a leis de privacidade, como o Regulamento Geral de Proteção de Dados (GDPR) da UE ou regulamentações como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS).

A05:2025 Injeção - Uma vulnerabilidade de injeção é um defeito do sistema que permite a um atacante inserir código ou comandos maliciosos (como SQL ou shell code) nos campos de entrada de um programa, enganando o sistema para executar o código ou os comandos como se fossem parte do sistema. Isso pode levar a consequências realmente graves.

A06:2025 Design Inseguro - O design inseguro é uma categoria ampla que representa diferentes fraquezas, expressas como “controles de design ausentes ou ineficazes”. O design inseguro não é a fonte para todas as outras categorias de risco do Top Ten. Note que há diferença entre design inseguro e implementação insegura. Diferenciamos falhas de design e defeitos de implementação por um motivo, eles têm causas raiz diferentes, ocorrem em momentos diferentes no processo de desenvolvimento e têm remediações diferentes. Um design seguro ainda pode ter defeitos de implementação que levam a vulnerabilidades que podem ser exploradas. Um design inseguro não pode ser corrigido por uma implementação perfeita, pois os controles de segurança necessários nunca foram criados para defender contra ataques específicos. Um dos fatores que contribuem para o design inseguro é a falta de perfil de risco de negócios inherente ao software ou sistema sendo desenvolvido, e assim a falha em determinar qual nível de design de segurança é necessário.

A07:2025 Falhas de Autenticação - Quando um atacante consegue enganar o sistema para reconhecer um usuário inválido ou incorreto como legítimo, essa vulnerabilidade está presente.

A08:2025 Falhas na Integridade do Software ou Dados - As falhas na integridade do software e dos dados relacionam-se a código e infraestrutura que não protegem contra código ou dados inválidos ou não confiáveis serem tratados como confiáveis e válidos. Um exemplo disso é onde um aplicativo depende de plugins, bibliotecas ou módulos de fontes não confiáveis, repositórios e redes de entrega de conteúdo (CDNs). Uma pipeline CI/CD insegura sem consumir e fornecer verificações de integridade de software pode introduzir o potencial para acesso não autorizado, código inseguro ou malicioso, ou comprometimento do sistema. Outro exemplo disso é uma pipeline CI/CD que puxa código ou artefatos de lugares não confiáveis e/ou não os verifica antes do uso (verificando a assinatura ou um mecanismo similar). 

A09:2025 Falhas em Log e Alerta de Segurança  - Sem registro e monitoramento, ataques e violações não podem ser detectados, e sem alertas é muito difícil responder rapidamente e eficazmente durante um incidente de segurança. Registro insuficiente, monitoramento contínuo, detecção e alerta para iniciar respostas ativas ocorrem sempre que

A10:2025 Tratamento Improvado de Condições Excepcionais - O tratamento inadequado de condições excepcionais em software acontece quando programas falham em prevenir, detectar e responder a situações incomuns e imprevisíveis, o que leva a falhas, comportamentos inesperados e, às vezes, vulnerabilidades. Isso pode envolver uma ou mais das seguintes falhas: o aplicativo não previne uma situação incomum de ocorrer, não identifica a situação à medida que ela ocorre, e/ou responde mal ou nem mesmo responde à situação depois.

Discutiremos e apresentaremos aspectos práticos de:

Controle de Acesso Defeituoso
- Exemplos práticos de controles de acesso defeituosos
- Controles de acesso seguros e melhores práticas

Configuração Insegura
- Exemplos reais de configurações incorretas
- Passos para prevenir a configuração incorreta, incluindo ferramentas de gerenciamento e automação de configuração

Falhas Criptográficas
- Análise detalhada de falhas criptográficas, como algoritmos de criptografia fracos ou gerenciamento inadequado de chaves
- Importância dos mecanismos criptográficos fortes, protocolos seguros (SSL/TLS), e exemplos de criptografia moderna na segurança web

Ataques de Injeção
- Análise detalhada de injeções SQL, NoSQL, OS e LDAP
- Técnicas de mitigação usando declarações preparadas, consultas parametrizadas e escape de entradas

Design Inseguro
- Exploraremos falhas de design que podem levar a vulnerabilidades, como validação inadequada de entrada
- Estudaremos estratégias para arquitetura e princípios de design seguros

Falhas de Autenticação
- Problemas comuns de autenticação
- Estratégias de autenticação seguras, como autenticação multifator e gerenciamento adequado de sessões

Falhas na Integridade do Software ou Dados
- Foco em questões como atualizações de software não confiáveis e alterações de dados maliciosas
- Mecanismos seguros de atualização e verificações de integridade de dados

Falhas em Log e Monitoramento de Segurança
- Importância do registro de informações relevantes para a segurança e monitoramento de atividades suspeitas
- Ferramentas e práticas para um registro adequado e monitoramento em tempo real para detectar violações precocemente