O Que é o OWASP?

Se você trabalha com segurança de aplicações web, quase certamente já ouviu falar do OWASP. Mas o que ele é exatamente e por que se tornou o padrão global para entender os riscos de segurança em aplicações?

OWASP — Open Worldwide Application Security Project — é uma fundação sem fins lucrativos dedicada a melhorar a segurança de softwares. Fundado por Mark Curphey em 9 de setembro de 2001, o OWASP começou como uma simples lista de discussão e uma coletânea de documentos. Hoje, cresceu até se tornar uma das organizações mais influentes em cibersegurança, com mais de 32.000 membros, 8.500 contribuidores e mais de 300 projetos ativos.

O que torna o OWASP único é seu compromisso de ser completamente aberto: todos os projetos, ferramentas, documentos, fóruns e capítulos são gratuitos e acessíveis a qualquer pessoa interessada em segurança de aplicações. Essa abertura levou a uma adoção generalizada — o OWASP Top 10 é referenciado por padrões importantes, incluindo PCI DSS, DISA-STIG e a U.S. Federal Trade Commission.

OWASP Foundation

Por Que o OWASP Importa

Os números contam por que a segurança de aplicações — e as orientações do OWASP — são críticas:

98 %
Aplicações Vulneráveis

Aplicações web vulneráveis a ataques

Synopsys Software Security Report
20 %
Vetor de Violação

Violações de dados via exploração de vulnerabilidades

Verizon DBIR 2024
US$ 4,88 mi
Custo Médio

Custo global médio de uma violação de dados em 2024

IBM Cost of a Data Breach Report 2024
277
Dias para Detectar

Tempo médio para identificar e conter uma violação

IBM Cost of a Data Breach Report 2024
A Mudança de Nome

No início de 2023, o conselho do OWASP votou para mudar o 'W' de 'Web' para 'Worldwide', refletindo a expansão da organização para além das aplicações web. O OWASP agora cobre IoT, software de sistemas, APIs e muito mais.

OWASP Top 10: Riscos de Segurança em Aplicações Web

O OWASP Top 10 é o documento mais reconhecido em segurança de aplicações. Publicado pela primeira vez em 2003, representa um amplo consenso sobre os riscos de segurança mais críticos enfrentados pelas aplicações web. A lista é atualizada a cada poucos anos com base em dados de organizações de segurança em todo o mundo.

A versão atual, lançada em setembro de 2021, reflete mudanças significativas no cenário de ameaças. Três novas categorias foram adicionadas, e o Broken Access Control passou do #5 para o topo — um reflexo de como as falhas de controle de acesso se tornaram a questão de segurança dominante.

A Lista Top 10 de 2021

Estes são os dez riscos de segurança mais críticos em aplicações web segundo o OWASP:

A01 - Broken Access Control

O risco #1. 94 % das aplicações testadas tinham broken access control. Ocorre quando os usuários podem atuar fora de suas permissões pretendidas.

A02 - Cryptographic Failures

Anteriormente 'Sensitive Data Exposure'. Falhas relacionadas à criptografia que levam à exposição de dados sensíveis.

A03 - Injection

Injeção SQL, NoSQL, de SO e LDAP. Dados não confiáveis enviados a um interpretador como parte de um comando ou consulta.

A04 - Insecure Design

NOVO em 2021. Foca em falhas de design e arquitetura. Pede modelagem de ameaças e padrões de design seguro.

OWASP Top 10:2021

A05 - Security Misconfiguration

Hardening de segurança ausente, recursos desnecessários habilitados, contas padrão sem alteração, mensagens de erro excessivamente verbosas.

A06 - Vulnerable Components

Uso de bibliotecas, frameworks ou módulos com vulnerabilidades conhecidas. Inclui dependências diretas e transitivas.

A07 - Authentication Failures

Anteriormente 'Broken Authentication'. Fraquezas no gerenciamento de sessão permitindo que atacantes comprometam senhas ou tokens.

A08 - Software Integrity Failures

NOVO em 2021. Relacionado a código e infraestrutura sem verificação de integridade — pipelines de CI/CD, atualizações automáticas.

A09 - Logging & Monitoring Failures

NOVO em 2021. Logging, detecção, monitoramento e resposta ativa insuficientes. Detecção média de violação: 277 dias.

A10 - Server-Side Request Forgery

Falhas SSRF ocorrem quando uma aplicação web busca um recurso remoto sem validar a URL fornecida pelo usuário.

OWASP API Security Top 10

Conforme as APIs se tornaram a espinha dorsal das aplicações modernas, o OWASP criou um projeto separado focado especificamente em riscos de segurança em APIs. O API Security Top 10 2023 aborda vulnerabilidades específicas do design e da implementação de APIs.

As APIs apresentam desafios de segurança diferentes das aplicações web tradicionais. São projetadas para comunicação máquina a máquina, frequentemente expõem mais funcionalidade e se tornaram alvos primários para atacantes — aproximadamente 1 em cada 6 ataques agora visa APIs.

API Security Top 10 (2023)

#VulnerabilidadeRisco Principal
API1Broken Object Level Authorization (BOLA)40 % dos ataques a APIs exploram BOLA — acesso não autorizado a dados por manipulação de IDs de objeto
API2Broken AuthenticationTokens roubados, credential stuffing, ataques de força bruta em endpoints de API
API3Broken Object Property Level AuthorizationExposição excessiva de dados ou vulnerabilidades de mass assignment
API4Unrestricted Resource ConsumptionA ausência de rate limiting leva a DoS, dano econômico ou exaustão de recursos
API5Broken Function Level Authorization (BFLA)Usuários não autorizados executando funções administrativas de API
API6Unrestricted Access to Sensitive Business FlowsAbuso automatizado da lógica de negócio (revenda de ingressos, spam)
API7Server-Side Request Forgery (SSRF)APIs buscando recursos sem validar URIs fornecidas pelo usuário
API8Security MisconfigurationPatches ausentes, recursos desnecessários, permissões inadequadas
API9Improper Inventory ManagementAPIs sombra, versões obsoletas ainda acessíveis
API10Unsafe Consumption of APIsConfiar em dados de APIs de terceiros sem validação
OWASP API Security Top 10 2023Salt Security State of API Security Q1 2024
BOLA: A Ameaça #1 em APIs

A Broken Object Level Authorization (BOLA) está envolvida em aproximadamente 40 % de todos os ataques a APIs. Ocorre quando um endpoint de API não verifica adequadamente se o usuário que faz uma requisição tem permissão para acessar o recurso específico. Os atacantes simplesmente alteram IDs de objeto nas requisições para acessar dados não autorizados.

Como a Proteção WAAP Defende Contra as Ameaças do OWASP

A Proteção de Aplicações Web e API (WAAP) é uma das ferramentas mais eficazes para defender-se contra as vulnerabilidades do OWASP Top 10. Ao inspecionar o tráfego HTTP/HTTPS em tempo real, a Proteção WAAP pode detectar e bloquear ataques antes que alcancem suas aplicações.

Segundo dados recentes, patches virtuais por meio da Proteção WAAP bloquearam 62 % dos ataques web e 71 % dos ataques a APIs em 2024. Isso torna a Proteção WAAP uma camada essencial em qualquer estratégia de segurança em profundidade.

Gartner Magic Quadrant for Web Application Firewalls 2024

Proteção WAAP por Categoria do OWASP

Risco OWASPCapacidade da Proteção WAAPMétodo de Proteção
Injection (A03)Regras de Injeção SQL/XSS/de ComandoCorrespondência de padrões, validação de entrada, detecção de codificação
Broken Access Control (A01)Aplicação de Políticas de AcessoReputação de IP, geo-bloqueio, integração de autenticação
Security Misconfiguration (A05)Virtual PatchingProteção imediata para vulnerabilidades sem patch
SSRF (A10)Validação de RequisiçõesAllowlisting de URLs, proteção de rede interna
Cryptographic Failures (A02)Aplicação de SSL/TLSValidação de certificados, controle de cipher suites
BOLA/BFLA (API1/API5)Regras de Segurança de APIsValidação de schema, verificações de autorização, rate limiting

Implementando Segurança Segundo o OWASP

Proteger suas aplicações contra as vulnerabilidades do OWASP exige uma abordagem em múltiplas camadas:

01

Adote uma Proteção WAAP com Conjuntos de Regras OWASP

Implante uma Proteção WAAP com o OWASP Core Rule Set (CRS) pré-construído. Isso oferece cobertura imediata para padrões comuns de ataque e pode ser personalizado para suas aplicações específicas.

02

Implementar Práticas de Desenvolvimento Seguro

Treine os desenvolvedores nos riscos do OWASP e integre testes de segurança ao seu pipeline de CI/CD. Use ferramentas como o OWASP ZAP para varredura automatizada de segurança durante o desenvolvimento.

03

Manter um Inventário de Componentes

Acompanhe todas as bibliotecas, frameworks e dependências. Assine os avisos de segurança e corrija vulnerabilidades prontamente — mais de 90 % das violações exploram vulnerabilidades conhecidas e sem patch.

04

Habilitar Logging Abrangente

Registre eventos relevantes para a segurança e monitore anomalias. O tempo médio de 277 dias para detecção de violação pode ser drasticamente reduzido com logging adequado e integração SIEM.

05

Proteja Suas APIs Especificamente

As APIs precisam de controles de segurança dedicados, incluindo rate limiting, validação de schema e autorização adequada em cada endpoint. Não dependa apenas de regras tradicionais de WAAP projetadas para aplicações web.

Perguntas Frequentes

O OWASP em si não é um padrão de conformidade, mas suas diretrizes são referenciadas por muitos padrões, incluindo PCI DSS, DISA-STIG e diversos frameworks regulatórios. Muitas organizações usam a conformidade com o OWASP Top 10 como requisito básico de segurança.

O OWASP Top 10 normalmente é atualizado a cada 3 a 4 anos. A versão atual é de 2021, e o OWASP está atualmente desenvolvendo uma versão release candidate de 2025. As atualizações são baseadas em dados de vulnerabilidades contribuídos por organizações de segurança em todo o mundo.

O OWASP Top 10 foca em vulnerabilidades tradicionais de aplicações web, enquanto o API Security Top 10 aborda riscos específicos de APIs. As APIs têm preocupações singulares como BOLA, gerenciamento inadequado de inventário e abuso de lógica de negócio, que não são cobertas no Top 10 principal.

Uma Proteção WAAP oferece forte proteção contra muitas vulnerabilidades do OWASP, particularmente ataques de injeção, mas não é uma solução completa. Questões como insecure design (A04) e software integrity failures (A08) exigem práticas de desenvolvimento seguro. A Proteção WAAP deve fazer parte de uma estratégia de defesa em profundidade.

Visite owasp.org para acessar gratuitamente todos os recursos do OWASP. Projetos-chave incluem o Top 10, o API Security Top 10, o Application Security Verification Standard (ASVS) e ferramentas de teste de segurança como o OWASP ZAP. O OWASP também tem capítulos locais em todo o mundo.

Proteção Alinhada ao OWASP

A Proteção WAAP do TR7 oferece defesa abrangente contra as vulnerabilidades do OWASP Top 10 e do API Security Top 10, com conjuntos de regras pré-configurados, detecção de ameaças em tempo real e capacidades de virtual patching.

Explorar Recursos do WAAP