Gleice Cruz Monteiro Simões
Aprovada no XL Exame da OAB
ENTREVISTA: Gleice Cruz Monteiro Simões – Aprovada no XL Exame da OAB
Artigo
Universo Segurança da Informação: Top 10 Riscos de Segurança de Aplicações Web da OWASP.
Introdução
Voltando a falar de Segurança da Informação, uma das áreas de Tecnologia da Informação (TI) mais importantes dos concursos da atualidade, vamos abordar hoje os top 10 riscos de segurança de aplicações web da Open Web Application Security Project (OWASP).
Muitos concurseiros queixam-se de que não há muitos materiais disponíveis da OWASP. Por causa disso, recentemente preparamos um artigo sobre as boas práticas de programação segura e hoje vamos falar sobre os top 10 riscos de segurança de aplicações web. Veja o que teremos pela frente:
- O que é a OWASP?
- Contexto de Riscos de Segurança
- Top 10 Riscos de Segurança de Aplicações Web
O artigo de hoje é específico para quem está fazendo provas da área de TI. Para entender os conceitos apresentados, é importante que já tenha noções de desenvolvimento de sistemas web e segurança da informação.
Preparamos um artigo bem objetivo, a fim de que você consiga ter acesso ao conteúdo necessário em poucos minutos. Sendo assim, desejamos uma ótima leitura e vamos começar.
Tempo de leitura aproximada: 5 a 10 minutos
O que é a OWASP?
OWASP é a sigla para Open Web Application Security Project. Na prática, é uma organização internacional focada em segurança de aplicações para web.
Embora a OWASP organize eventos de Segurança da Informação pelo mundo e faça recomendações de boas práticas na área, ela é muito conhecida pelo ranking de riscos de segurança de aplicações web, que vamos apresentar nas próximas seções.
Momento Curiosidade: Como a OWASP é uma entidade sem fins lucrativos, ela aceita doações sem compromisso para contribuir com iniciativas open-source.
Riscos de Segurança
As aplicações web estão diariamente expostas a diversos riscos que comprometem o seu pleno funcionamento, seja por razões internas ou externas ao sistema.
As razões internas são denominadas de vulnerabilidades. De uma forma geral, podemos destacar brechas no código, configurações em servidores, questões ligadas à autenticação etc.
Por outro lado, as razões externas são ameaças, geralmente causadas por criminosos. De uma forma geral, podemos destacar programas maliciosos, ataques de rede etc.
Os riscos são objeto do famoso ranking da OWASP, denominado Top 10 Riscos de Segurança de Aplicações Web. Como você pode imaginar, esse ranking é atualizado periodicamente, de modo que novas categorias surgem e outras desaparecem. Só para ilustrar, veja a variação do ranking atual:
Pausa para Refletir: O artigo está sendo elaborado em 2024, mas o último ranking realmente é de 2021. Observe que o anterior é de 2017, 4 anos antes. Ou seja, a OWASP não atualiza o ranking todo ano.
Não preparamos mapa mental hoje porque o conteúdo está sendo apresentado de maneira bem sintética. Contudo, se você gosta de esquemas que facilitam a memorização, recomendamos que você salve a figura acima (ou até mesmo o próprio artigo para ler novamente no futuro).
Top 10 Riscos de Segurança de Aplicações Web
Veja agora quais são os 10 riscos apresentados no ranking de 2021. A critério de comparação, informamos ao lado de cada risco se ele subiu ou desceu em 2021, juntamente com a quantidade de posições, em relação ao ranking anterior de 2017.
Legenda:
↑ X (risco subiu X posições)
↓ Y (risco desceu Y posições)
novo! (risco não apareceu anteriormente)
Riscos de Segurança A01 até A05
A01:2021 – Quebra de Controles de Acesso (↑ 4)
Risco que envolve falhas nos mecanismos de controle de acesso, de forma que a vulnerabilidade permita que usuários não autorizados acessem recursos restritos ou dados sensíveis.
A02:2021 – Falhas Criptográficas (↑ 1)
Trata-se de falhas na proteção de dados confidenciais, incluindo CPF, senhas e outras informações pessoais, por meio de criptografia inadequada ou má implementação.
A03:2021 – Injeção (↓ 2)
Essa ameaça é provocada pela inserção de dados maliciosos em comandos ou consultas pelo atacante, levando à execução de código não intencional ou alteração de dados.
A04:2021 – Design Inseguro (novo!)
Risco decorrente de vários pontos fracos presentes no próprio design da aplicação do sistema web, tais como ausência ou ineficácia de controles de segurança e falhas de arquitetura.
A05:2021 – Configuração Insegura (↑ 1)
Esse risco refere-se a configurações incorretas do ambiente em que a aplicação está situada (por exemplo, servidor), que podem levar a segurança “por água abaixo”, tais como portas liberadas, permissões indevidas etc.
Riscos de Segurança A06 até A10
A06:2021 – Componente Desatualizado e Vulnerável (↑ 3)
Trata-se de falhas nos componentes da própria aplicação, que apresentam alguma vulnerabilidade de segurança ou não estão atualizados, em sua última versão.
A07:2021 – Falha de Identificação e Autenticação (↓ 5)
Consiste em problemas diversos envolvendo logins e senhas que comprometem a verificação da identidade de um usuário e a garantia de que ele é quem afirma ser.
A08:2021 – Falha na Integridade de Dados e Software (novo!)
Consiste em alterações ou corrupções do sistema, de maneira não autorizada, que pode trazer diversas consequências, tais como resultados incorretos, instabilidade na aplicação etc.
A09:2021 – Monitoramento de Falhas e Registros de Segurança (↑ 1)
Esse risco traz uma dificuldade de arrumar a própria casa. Estamos falando de problemas para identificar incidentes, instabilidades e erros na aplicação. Já pensou em um monitoramento sem existência de log?
A10:2021 – Falsificação de Solicitação do Lado do Servidor (novo!)
Nós respeitamos a tradução da OWASP, mas esse é o famoso ataque Server-Side Request Forgery (SSRF), para quem já é ambientado com o assunto.
Você Sabia? De forma breve, SSRF consiste em um ataque, onde o criminoso explora uma vulnerabilidade existente no servidor, realizando requisições por meio dela. Essas requisições atípicas, que não partiriam naturalmente do servidor, são espécies de falsificações.
Veja que grande parte dos principais riscos são decorrentes de vulnerabilidades existentes na aplicação. Ou seja, se você adota estratégias de programação segura, já terá um grande avanço na segurança da informação. Porém, tenha em mente que nenhum programa é 100% seguro.
Conclusão
Apresentamos hoje os top 10 riscos de segurança de aplicações web da OWASP. Não deixe de salvar essa publicação para consultas futuras, pois este material é bem raro e procurado no mundo dos concursos.
Se gostou deste artigo, não deixe de conferir também o material que preparamos sobre boas práticas de desenvolvimento seguro da OWASP, aqui no Blog do Estratégia Concursos. O link é: https://www.estrategiaconcursos.com.br/blog/seguranca-informacao-praticas-programacao-segura-owasp/.
Sugerimos também que você aprofunde o conteúdo de Segurança da Informação por meio dos materiais da plataforma. O Estratégia oferece diversos cursos em pdf, videoaulas e áudios para você ouvir onde quiser. Descubra tudo no link http://www.estrategiaconcursos.com.br/cursos/.
Por fim, é importante que você faça muitas questões. Alunos aprovados realizam centenas ou até milhares de exercícios para atingir seu objetivo. O acesso ao Sistema de Questões do Estratégia é feito pelo link: https://concursos.estrategia.com/.
Bons estudos e até a próxima!
Cristiane Selem Ferreira Neves é Bacharel em Ciência da Computação e Mestre em Sistemas de Informação pela Universidade Federal do Rio de Janeiro (UFRJ), além de possuir a certificação Project Management Professional pelo Project Management Institute (PMI). Já foi aprovada nos seguintes concursos: ITERJ (2012), DATAPREV (2012), VALEC (2012), Rioprevidência (2012/2013), TJ-RJ (2022), TCE-RJ (2022) e CGE-SC (2022/2023). Atualmente exerce o cargo efetivo de Auditora de Controle Externo – Tecnologia da Informação e integra o corpo docente da Escola de Contas de Gestão do TCE-RJ, além de ser produtora de conteúdo dos Blogs do Estratégia Concursos, OAB e Carreiras Jurídicas.