Muitos concurseiros queixam-se de que n\u00e3o h\u00e1 muitos materiais dispon\u00edveis da OWASP. Por causa disso, recentemente preparamos um artigo sobre as boas pr\u00e1ticas de programa\u00e7\u00e3o segura e hoje vamos falar sobre os top 10 riscos de seguran\u00e7a de aplica\u00e7\u00f5es web<\/em>. Veja o que teremos pela frente:<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n O artigo de hoje \u00e9 espec\u00edfico para quem est\u00e1 fazendo provas da \u00e1rea de TI. Para entender os conceitos apresentados, \u00e9 importante que j\u00e1 tenha no\u00e7\u00f5es de desenvolvimento de sistemas web<\/em> e seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n\n\n\n Preparamos um artigo bem objetivo, a fim de que voc\u00ea consiga ter acesso ao conte\u00fado necess\u00e1rio em poucos minutos. Sendo assim, desejamos uma \u00f3tima leitura e vamos come\u00e7ar.<\/p>\n\n\n\n <\/p>\n\n\n\n Tempo de leitura aproximada: 5 a 10 minutos<\/mark><\/strong><\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n OWASP \u00e9 a sigla para Open Web Application Security Project. <\/em>Na pr\u00e1tica, \u00e9 uma organiza\u00e7\u00e3o internacional focada em seguran\u00e7a de aplica\u00e7\u00f5es para web<\/em>.<\/p>\n\n\n\n Embora a OWASP organize eventos de Seguran\u00e7a da Informa\u00e7\u00e3o pelo mundo e fa\u00e7a recomenda\u00e7\u00f5es de boas pr\u00e1ticas na \u00e1rea, ela \u00e9 muito conhecida pelo ranking<\/em> de riscos de seguran\u00e7a de aplica\u00e7\u00f5es web<\/em>, que vamos apresentar nas pr\u00f3ximas se\u00e7\u00f5es.<\/p>\n\n\n\n <\/p>\n\n\n\n Momento Curiosidade:<\/strong> Como a OWASP \u00e9 uma entidade sem fins lucrativos, ela aceita doa\u00e7\u00f5es sem compromisso para contribuir com iniciativas open-source<\/em>.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n As aplica\u00e7\u00f5es web<\/em> est\u00e3o diariamente expostas a diversos riscos que comprometem o seu pleno funcionamento, seja por raz\u00f5es internas ou externas ao sistema.<\/p>\n\n\n\n As raz\u00f5es internas s\u00e3o denominadas de vulnerabilidades. De uma forma geral, podemos destacar brechas no c\u00f3digo, configura\u00e7\u00f5es em servidores, quest\u00f5es ligadas \u00e0 autentica\u00e7\u00e3o etc.<\/p>\n\n\n\n Por outro lado, as raz\u00f5es externas s\u00e3o amea\u00e7as, geralmente causadas por criminosos. De uma forma geral, podemos destacar programas maliciosos, ataques de rede etc.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Os riscos s\u00e3o objeto do famoso ranking<\/em> da OWASP, denominado Top<\/em> 10 Riscos de Seguran\u00e7a de Aplica\u00e7\u00f5es Web<\/em>. Como voc\u00ea pode imaginar, esse ranking<\/em> \u00e9 atualizado periodicamente, de modo que novas categorias surgem e outras desaparecem. S\u00f3 para ilustrar, veja a varia\u00e7\u00e3o do ranking<\/em> atual: <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Pausa para Refletir:<\/strong> O artigo est\u00e1 sendo elaborado em 2024, mas o \u00faltimo ranking<\/em> realmente \u00e9 de 2021. Observe que o anterior \u00e9 de 2017, 4 anos antes. Ou seja, a OWASP n\u00e3o atualiza o ranking<\/em> todo ano.<\/p>\n\n\n\n <\/p>\n\n\n\n N\u00e3o preparamos mapa mental hoje porque o conte\u00fado est\u00e1 sendo apresentado de maneira bem sint\u00e9tica. Contudo, se voc\u00ea gosta de esquemas que facilitam a memoriza\u00e7\u00e3o, recomendamos que voc\u00ea salve a figura acima (ou at\u00e9 mesmo o pr\u00f3prio artigo para ler novamente no futuro).<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Veja agora quais s\u00e3o os 10 riscos apresentados no ranking<\/em> de 2021. A crit\u00e9rio de compara\u00e7\u00e3o, informamos ao lado de cada risco se ele subiu ou desceu em 2021, juntamente com a quantidade de posi\u00e7\u00f5es, em rela\u00e7\u00e3o ao ranking<\/em> anterior de 2017.<\/p>\n\n\n\n <\/p>\n\n\n\n Legenda:<\/mark><\/span><\/strong> <\/p>\n\n\n\n \u2191 X<\/mark><\/strong> \u00a0\u00a0\u00a0\u00a0\u00a0(risco subiu X posi\u00e7\u00f5es)<\/p>\n\n\n\n \u2193 Y <\/mark><\/strong>\u00a0\u00a0\u00a0\u00a0\u00a0(risco desceu Y posi\u00e7\u00f5es)<\/p>\n\n\n\n novo!<\/mark><\/strong> (risco n\u00e3o apareceu anteriormente)<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n A01:2021 \u2013 Quebra de Controles de Acesso<\/mark> (\u2191 4<\/mark>)<\/strong><\/p>\n\n\n\n Risco que envolve falhas nos mecanismos de controle de acesso, de forma que a vulnerabilidade permita que usu\u00e1rios n\u00e3o autorizados acessem recursos restritos ou dados sens\u00edveis.<\/p>\n\n\n\n <\/p>\n\n\n\n A02:2021 \u2013 Falhas Criptogr\u00e1ficas<\/mark> (\u2191 1<\/mark>)<\/strong><\/p>\n\n\n\n Trata-se de falhas na prote\u00e7\u00e3o de dados confidenciais, incluindo CPF, senhas e outras informa\u00e7\u00f5es pessoais, por meio de criptografia inadequada ou m\u00e1 implementa\u00e7\u00e3o.<\/p>\n\n\n\n <\/p>\n\n\n\n A03:2021 \u2013 Inje\u00e7\u00e3o<\/mark> (\u2193 2<\/mark>)<\/strong><\/p>\n\n\n\n Essa amea\u00e7a \u00e9 provocada pela inser\u00e7\u00e3o de dados maliciosos em comandos ou consultas pelo atacante, levando \u00e0 execu\u00e7\u00e3o de c\u00f3digo n\u00e3o intencional ou altera\u00e7\u00e3o de dados.<\/p>\n\n\n\n <\/p>\n\n\n\n A04:2021 \u2013 Design <\/em>Inseguro<\/mark> (novo!<\/mark>)<\/strong><\/p>\n\n\n\n Risco decorrente de v\u00e1rios pontos fracos presentes no pr\u00f3prio design<\/em> da aplica\u00e7\u00e3o do sistema web<\/em>, tais como aus\u00eancia ou inefic\u00e1cia de controles de seguran\u00e7a e falhas de arquitetura.<\/p>\n\n\n\n <\/p>\n\n\n\n A05:2021 \u2013 Configura\u00e7\u00e3o Insegura<\/mark> (\u2191 1<\/mark>)<\/strong><\/p>\n\n\n\n Esse risco refere-se a configura\u00e7\u00f5es incorretas do ambiente em que a aplica\u00e7\u00e3o est\u00e1 situada (por exemplo, servidor), que podem levar a seguran\u00e7a \u201cpor \u00e1gua abaixo\u201d, tais como portas liberadas, permiss\u00f5es indevidas etc.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n A06:2021 \u2013 Componente Desatualizado e Vulner\u00e1vel<\/mark> (\u2191 3<\/mark>)<\/strong><\/p>\n\n\n\n Trata-se de falhas nos componentes da pr\u00f3pria aplica\u00e7\u00e3o, que apresentam alguma vulnerabilidade de seguran\u00e7a ou n\u00e3o est\u00e3o atualizados, em sua \u00faltima vers\u00e3o.<\/p>\n\n\n\n <\/p>\n\n\n\n A07:2021 \u2013 Falha de Identifica\u00e7\u00e3o e Autentica\u00e7\u00e3o<\/mark> (\u2193 5<\/mark>)<\/strong><\/p>\n\n\n\n Consiste em problemas diversos envolvendo logins<\/em> e senhas que comprometem a verifica\u00e7\u00e3o da identidade de um usu\u00e1rio e a garantia de que ele \u00e9 quem afirma ser.<\/p>\n\n\n\n <\/p>\n\n\n\n A08:2021 \u2013 Falha na Integridade de Dados e Software<\/em><\/mark> <\/em>(novo!<\/mark>)<\/strong><\/p>\n\n\n\n Consiste em altera\u00e7\u00f5es ou corrup\u00e7\u00f5es do sistema, de maneira n\u00e3o autorizada, que pode trazer diversas consequ\u00eancias, tais como resultados incorretos, instabilidade na aplica\u00e7\u00e3o etc. \u00a0<\/p>\n\n\n\n <\/p>\n\n\n\n A09:2021 \u2013 Monitoramento de Falhas e Registros de Seguran\u00e7a<\/mark> (\u2191 1<\/mark>)<\/strong><\/p>\n\n\n\n Esse risco traz uma dificuldade de arrumar a pr\u00f3pria casa. Estamos falando de problemas para identificar incidentes, instabilidades e erros na aplica\u00e7\u00e3o. J\u00e1 pensou em um monitoramento sem exist\u00eancia de log<\/em>?<\/p>\n\n\n\n <\/p>\n\n\n\n A10:2021 \u2013 Falsifica\u00e7\u00e3o de Solicita\u00e7\u00e3o do Lado do Servidor<\/mark> (novo!<\/mark>)<\/strong><\/p>\n\n\n\n N\u00f3s respeitamos a tradu\u00e7\u00e3o da OWASP, mas esse \u00e9 o famoso ataque Server-Side Request Forgery<\/em> (SSRF), para quem j\u00e1 \u00e9 ambientado com o assunto.<\/p>\n\n\n\n <\/p>\n\n\n\n Voc\u00ea Sabia?<\/strong> De forma breve, SSRF consiste em um ataque, onde o criminoso explora uma vulnerabilidade existente no servidor, realizando requisi\u00e7\u00f5es por meio dela. Essas requisi\u00e7\u00f5es at\u00edpicas, que n\u00e3o partiriam naturalmente do servidor, s\u00e3o esp\u00e9cies de falsifica\u00e7\u00f5es.<\/p>\n\n\n\n <\/p>\n\n\n\n Veja que grande parte dos principais riscos s\u00e3o decorrentes de vulnerabilidades existentes na aplica\u00e7\u00e3o. Ou seja, se voc\u00ea adota estrat\u00e9gias de programa\u00e7\u00e3o segura, j\u00e1 ter\u00e1 um grande avan\u00e7o na seguran\u00e7a da informa\u00e7\u00e3o. Por\u00e9m, tenha em mente que nenhum programa \u00e9 100% seguro.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Apresentamos hoje os top 10 riscos de seguran\u00e7a de aplica\u00e7\u00f5es web<\/em> da OWASP. N\u00e3o deixe de salvar essa publica\u00e7\u00e3o para consultas futuras, pois este material \u00e9 bem raro e procurado no mundo dos concursos. <\/p>\n\n\n\n Se gostou deste artigo, n\u00e3o deixe de conferir tamb\u00e9m o material que preparamos sobre boas pr\u00e1ticas de desenvolvimento seguro da OWASP, aqui no Blog <\/em>do Estrat\u00e9gia Concursos. O link \u00e9: https:\/\/www.estrategiaconcursos.com.br\/blog\/seguranca-informacao-praticas-programacao-segura-owasp\/<\/a>.<\/p>\n\n\n\n Sugerimos tamb\u00e9m que voc\u00ea aprofunde o conte\u00fado de Seguran\u00e7a da Informa\u00e7\u00e3o por meio dos materiais da plataforma. O Estrat\u00e9gia oferece diversos cursos em pdf, videoaulas e \u00e1udios para voc\u00ea ouvir onde quiser. Descubra tudo no link<\/em> http:\/\/www.estrategiaconcursos.com.br\/cursos\/<\/a>.<\/p>\n\n\n\n Por fim, \u00e9 importante que voc\u00ea fa\u00e7a muitas quest\u00f5es. Alunos aprovados realizam centenas ou at\u00e9 milhares de exerc\u00edcios para atingir seu objetivo. O acesso ao Sistema de Quest\u00f5es do Estrat\u00e9gia \u00e9 feito pelo link<\/em>: https:\/\/concursos.estrategia.com\/<\/a>.<\/p>\n\n\n\n <\/p>\n\n\n\n Bons estudos e at\u00e9 a pr\u00f3xima!<\/p>\n\n\n\n <\/p>\n\n\n\n Cristiane Selem Ferreira Neves \u00e9 Bacharel em Ci\u00eancia da Computa\u00e7\u00e3o e Mestre em Sistemas de Informa\u00e7\u00e3o pela Universidade Federal do Rio de Janeiro (UFRJ), al\u00e9m de possuir a certifica\u00e7\u00e3o Project Management Professional pelo Project Management Institute (PMI). J\u00e1 foi aprovada nos seguintes concursos: ITERJ (2012), DATAPREV (2012), VALEC (2012), Rioprevid\u00eancia (2012\/2013), TJ-RJ (2022), TCE-RJ (2022) e CGE-SC (2022\/2023). Atualmente exerce o cargo efetivo de Auditora de Controle Externo \u2013 Tecnologia da Informa\u00e7\u00e3o e integra o corpo docente da Escola de Contas de Gest\u00e3o do TCE-RJ, al\u00e9m de ser produtora de conte\u00fado dos Blogs do Estrat\u00e9gia Concursos, OAB e Carreiras Jur\u00eddicas.<\/em><\/p>\n\n\n\n <\/p>\n\n\n\n\n
O que \u00e9 a OWASP?<\/h2>\n\n\n\n
Riscos de Seguran\u00e7a<\/h2>\n\n\n\n
![\"Figura](\"https:\/\/dhg1h5j42swfq.cloudfront.net\/2024\/04\/13113806\/escopoaplicacao-1.png\")
![\"Figura](\"https:\/\/dhg1h5j42swfq.cloudfront.net\/2024\/04\/12215507\/rankingpt.png\")
Top <\/em>10 Riscos de Seguran\u00e7a de Aplica\u00e7\u00f5es Web<\/em><\/h2>\n\n\n\n
Riscos de Seguran\u00e7a A01 at\u00e9 A05<\/h3>\n\n\n\n
Riscos de Seguran\u00e7a A06 at\u00e9 A10<\/h3>\n\n\n\n
Conclus\u00e3o<\/h2>\n\n\n\n