Sumário Executivo
O OWASP Top 10 serve como o ranking definitivo da indústria para riscos de segurança em aplicações web. Em 6 de novembro de 2025, o OWASP lançou a edição de 2025 — a primeira grande atualização desde 2021. Não se trata apenas de uma revisão incremental; ela reflete mudanças fundamentais no cenário de ameaças e na forma como pensamos a segurança de aplicações.
Duas novas categorias encabeçam a atualização: Software Supply Chain Failures (A03) aborda a ameaça crescente de dependências comprometidas, pacotes maliciosos e pipelines de build adulterados. Mishandling of Exceptional Conditions (A10) reconhece que a forma como as aplicações falham é tão importante quanto a forma como têm sucesso. Enquanto isso, o Broken Access Control mantém sua posição em 1º lugar, enquanto o Security Misconfiguration saltou do 5º para o 2º.
Além do ranking, a edição de 2025 representa uma virada filosófica de sintomas para causas-raiz. Onde versões anteriores poderiam sinalizar 'Sensitive Data Exposure', o novo framework identifica 'Cryptographic Failures' — a fraqueza subjacente que possibilita a exposição. Este relatório analisa cada categoria, explica as mudanças de ranking e oferece orientações práticas para programas de segurança que se adaptam ao novo framework.
2021 vs 2025: Comparação Completa do Ranking
A atualização de 2025 remaneja várias categorias e introduz duas novas entradas. Compreender essas mudanças ajuda a priorizar os investimentos em segurança.
| Posição 2025 | Categoria | Posição 2021 | Variação | CWEs |
|---|---|---|---|---|
| A01 | Broken Access Control | #1 | Estável (SSRF mesclado) | 40 |
| A02 | Security Misconfiguration | #5 | +3 posições | 16 |
| A03 | Software Supply Chain Failures | NOVA | Prioridade #1 da comunidade | 5 |
| A04 | Cryptographic Failures | #2 | -2 posições | 32 |
| A05 | Injection | #3 | -2 posições | 38 |
| A06 | Insecure Design | #4 | -2 posições | — |
| A07 | Authentication Failures | #7 | Estável | 36 |
| A08 | Software/Data Integrity Failures | #8 | Estável | — |
| A09 | Logging & Alerting Failures | #9 | Estável (renomeada) | 5 |
| A10 | Mishandling of Exceptional Conditions | NOVA | 24 CWEs consolidadas | 24 |
A01:2025 – Broken Access Control
Mantendo a primeira posição pela segunda edição consecutiva, o Broken Access Control continua sendo o risco de segurança mais crítico em aplicações web. Em 2025, o SSRF foi mesclado a essa categoria.
Prevalência: 3,73 %
De todas as aplicações testadas, 3,73 % apresentaram vulnerabilidades de broken access control. Com mais de 318.000 ocorrências, tem a maior taxa de ocorrência.
40 CWEs Cobertas
A maior categoria inclui CWE-200 (Exposição de Informações Sensíveis), CWE-352 (CSRF) e agora CWE-918 (SSRF).
94 % de Cobertura de Testes
Quase todas as aplicações (94 %) foram testadas para broken access control, demonstrando a conscientização em toda a indústria.
SSRF Agora Incluído
O Server-Side Request Forgery, anteriormente A10:2021, foi mesclado ao Broken Access Control.
A02:2025 – Security Misconfiguration (sobe do 5º lugar)
A mudança de ranking mais dramática em 2025 vê a Security Misconfiguration disparar do quinto para o segundo lugar. Isso reflete um reconhecimento crescente de que muitos incidentes de segurança não vêm de exploits sofisticados, mas de erros básicos de configuração que criam condições exploráveis.
Essa categoria engloba configurações padrão deixadas sem alteração, recursos desnecessários habilitados, mensagens de erro verbosas que vazam informações, cabeçalhos de segurança ausentes, software desatualizado e permissões inseguras de armazenamento em nuvem. A ascensão ao 2º lugar envia uma mensagem clara: as organizações precisam tratar o gerenciamento de configuração como uma função crítica para a segurança.
Com 16 CWEs afetando 3,00 % das aplicações testadas, as configurações incorretas frequentemente representam a fruta mais fácil de colher para os atacantes. Não exigem ferramentas especializadas nem exploits zero-day — apenas a paciência para sondar fraquezas comuns.
A principal preocupação da comunidade vira categoria oficial. Os ataques à cadeia de suprimentos exploram a confiança em dependências, sistemas de build e canais de distribuição. Incidentes notáveis incluem SolarWinds (2020), Log4j (2021) e XZ Utils (2024). Embora essa categoria tenha o menor número de ocorrências de dados (5 CWEs), tem as maiores pontuações médias de exploração e impacto — tornando os ataques bem-sucedidos catastroficamente danosos. As organizações precisam verificar a integridade dos componentes, monitorar atualizações de dependências e implementar análise de composição de software.
O Declínio do Injection: do 1º ao 5º Lugar
As vulnerabilidades de injeção, antes os reis incontestes dos riscos em aplicações web, caíram do 1º (2017) para o 3º (2021) e para o 5º (2025). Esse declínio reflete melhorias genuínas de segurança.
Adoção de Frameworks
Frameworks modernos com consultas parametrizadas, prepared statements e camadas ORM tornaram a injeção SQL estruturalmente mais difícil de introduzir.
Análise Estática
Ferramentas SAST detectam efetivamente padrões de injeção durante o desenvolvimento, capturando vulnerabilidades antes da produção.
Educação dos Desenvolvedores
Duas décadas de campanhas de conscientização fizeram da prevenção de injeção uma habilidade fundamental ensinada em todo treinamento de segurança.
A04:2025 – Cryptographic Failures (cai do 2º lugar)
As Cryptographic Failures caíram duas posições para o 4º lugar, embora isso não indique redução de importância. Em vez disso, a ascensão das preocupações com misconfiguration e supply chain a deslocou relativamente. Com 32 CWEs e prevalência de 3,80 %, as fraquezas criptográficas continuam significativas.
Essa categoria aborda falhas na proteção de dados em repouso e em trânsito: algoritmos fracos, gerenciamento inadequado de chaves, entropia insuficiente, protocolos obsoletos e bypass de validação de certificados. A ênfase em 'falhas' em vez de 'exposição' reflete a virada do OWASP em direção às causas-raiz.
A10:2025 – Mishandling of Exceptional Conditions (NOVA)
A segunda nova categoria reconhece que a forma como as aplicações falham importa tanto quanto a forma como têm sucesso.
Essa categoria contém 24 CWEs focadas em tratamento inadequado de erros, erros lógicos, fail open, condições de corrida e outros cenários decorrentes de condições anormais. Quando os sistemas encontram entradas ou estados inesperados, o modo de falha determina se um atacante obtém acesso.
Os sistemas seguros 'falham fechados' — quando algo dá errado, negam o acesso. Os sistemas inseguros 'falham abertos' — os erros resultam em controles ignorados. Um exemplo clássico: um sistema de login que concede acesso quando o banco de dados de autenticação está inacessível.
Mensagens de erro verbosas revelam stack traces, esquemas de banco de dados, caminhos de arquivo e lógica interna. Os atacantes usam essas informações para refinar os ataques. Sistemas de produção devem mostrar erros genéricos enquanto registram detalhes no lado do servidor.
Vulnerabilidades de time-of-check a time-of-use (TOCTOU) permitem que os atacantes explorem a lacuna entre quando uma condição é verificada e quando é executada. Esses erros lógicos podem contornar autenticação, autorização e controles financeiros.
Essas fraquezas eram antes agrupadas como 'baixa qualidade de código', mas seu impacto de segurança justifica foco dedicado. À medida que as aplicações se tornam mais complexas com arquiteturas distribuídas, o número de condições excepcionais — e as oportunidades de tratamento inadequado — explodiu.
A edição de 2025 prioriza explicitamente causas-raiz em vez de sintomas. As versões anteriores às vezes os misturavam — 'Sensitive Data Exposure' descreve o que aconteceu, não o porquê. O framework de 2025 pergunta: que fraqueza subjacente possibilitou o resultado? Isso move as conversas sobre segurança da resposta a incidentes ('os dados foram expostos') para a prevenção ('a criptografia estava mal configurada'). Para os profissionais, isso significa abordar as categorias na sua origem, em vez de tratar manifestações individuais.
O Que Isso Significa para o Seu Programa de Segurança
Implementar Análise de Composição de Software
Com as falhas na cadeia de suprimentos agora em A03, você precisa de visibilidade contínua sobre as dependências. Implante ferramentas de SCA que identifiquem componentes vulneráveis, detectem pacotes maliciosos e alertem sobre violações de integridade.
Priorizar o Gerenciamento de Configuração
O salto da Security Misconfiguration para o 2º lugar exige atenção. Implemente baselines de configuração, automatize verificação de conformidade e trate desvio de configuração como incidente de segurança.
Fortalecer Testes de Controle de Acesso
Broken Access Control em 1º lugar com mais de 318.000 ocorrências significa que seu modelo de controle de acesso precisa de testes rigorosos. Implemente testes automatizados de autorização e verifique cada endpoint.
Revisar Padrões de Tratamento de Erros
A nova categoria de Condições Excepcionais exige a revisão da forma como suas aplicações falham. Audite o tratamento de erros em busca de vazamento de informações, verifique o comportamento de 'falhar fechado' e teste condições de corrida.
Atualizar Materiais de Treinamento
Se o treinamento dos seus desenvolvedores ainda enfatiza injeção como o risco número 1, atualize-o. Foque o treinamento em controle de acesso, configuração e nas novas categorias.
Alinhar Regras de WAAP com as Categorias de 2025
Garanta que o conjunto de regras da sua Proteção de Aplicações Web e API (WAAP) trate todas as categorias de 2025. Conjuntos de regras legados otimizados para injeção podem subestimar a detecção de controle de acesso e configuração incorreta.
Proteção do TR7 ao Longo do OWASP Top 10:2025
Broken Access Control
Políticas granulares de controle de acesso, detecção de BOLA/IDOR, prevenção de SSRF e proteção contra CSRF defendem contra o risco #1.
Security Misconfiguration
Orientações de hardening de segurança, alertas sobre configurações padrão e aplicação de cabeçalhos ajudam a prevenir o risco #2.
Defesa Contra Injection
Regras avançadas de WAAP detectam tentativas de injeção SQL, NoSQL, de comando de SO e LDAP com análise comportamental.
Aplicação de Criptografia
Terminação SSL/TLS com cipher suites modernos, gerenciamento de certificados e aplicação de protocolos.
Proteção no Tratamento de Erros
Páginas de erro personalizadas, supressão de stack traces e detecção de anomalias para ataques baseados em erros.
Monitoramento em Tempo Real
Logging, alertas e análises abrangentes garantem a conformidade com A09 enquanto oferecem visibilidade sobre todas as categorias de ataque.
Referências e Fontes
OWASP Top 10:2025 RC1 - Fonte primária para definições de categoria, estatísticas e mudanças de metodologia. https://owasp.org/Top10/2025/0x00_2025-Introduction/
Página oficial do projeto com versões históricas e materiais suplementares. https://owasp.org/www-project-top-ten/
Análise focada em desenvolvedores das mudanças de 2025. https://www.aikido.dev/blog/owasp-top-10-2025-changes-for-developers
Perspectiva da indústria sobre o que mudou e o que você precisa saber. https://www.fastly.com/blog/new-2025-owasp-top-10-list-what-changed-what-you-need-to-know
Mergulho profundo na nova categoria de supply chain. https://eclypsium.com/blog/owasp-top-10-2025-software-supply-chain-risk/
Alinhe Sua Segurança ao OWASP 2025
O OWASP Top 10:2025 reformula como priorizamos a segurança de aplicações web. A plataforma de segurança integrada do TR7 oferece defesa em profundidade contra todas as dez categorias.
Explorar Proteção WAAP