[Segurança] Projeto OWASP Top 10 2017

O pessoal do projeto OWASP lançou recentemente uma nova versão da sua lista de 10 principais vulnerabilidades de aplicações web para 2017, conhecida simplesmente como "OWASP TOP 10". A lista divulgada este mês é uma "release candidate", ou seja, uma versão rascunho (quase final), e traz as vulnerabilidades mais críticas que podem ser encontradas em aplicações web. O documento categoriza e descreve cada uma delas, incluindo uma explicação do risco e suas formas de mitigação.

O projeto da lista "Top 10" foi lançado inicialmente em 2003, com o objetivo de conscientizar sobre segurança em aplicações web através da identificação dos riscos mais críticos. A última versão, de 2013, também está disponível em Português.

Para 2017, a lista "OWASP Top 10 Most Critical Web Application Security Risks" (nessa versão "Release Candidate") é formada pelas seguintes categorias de ataques:

• A1 Injection
• A2 Broken Authentication and Session Management
• A3 Cross-Site Scripting (XSS)
• A4 Broken Access Control
• A5 Security Misconfiguration
• A6 Sensitive Data Exposure
• A7 Insufficient Attack Protection
• A8 Cross-Site Request Forgery (CSRF)
• A9 Using Components with Known Vulnerabilities
• A10 Underprotected APIs

O blog SegInfo destacou que essa nova versão apresenta duas novas categorias de ataques:

• A7 – Insufficient Attack Protection: A maioria das aplicações e APIs não possuem qualquer capacidade de detectar, prevenir e responder a ataques manuais e automatizados. A proteção contra ataques vai muito além da validação de entradas e envolve detecção, registro, resposta e até mesmo bloqueio de tentativas de invasão. Além disso, as empresas também precisam ser capazes de implantar correções rapidamente para proteger contra ataques;
• A10 – Underprotected APIs: As aplicações atuais geralmente disponibilizam APIs e utilizam APIs externas, tais como aplicações rich client, como JavaScript no navegador e aplicativos móveis, que se conectam a algum tipo de API (SOAP/XML, REST/JSON, RPC, GWT etc.). Estas APIs são frequentemente desprotegidas e contêm inúmeras vulnerabilidades. A popularização do uso de APIs tornou necessário promover esse assunto a um tópico exclusivo na lista de Top ameaças. 

A imagem abaixo indica o que mudou da versão 2013 para a nova do OWASP Top 10:

O uso de "listas de principais assuntos" sempre gera uma certa polêmica, ainda mais na área de segurança, que adora polemizar com tudo. Há aqueles que defendem que ese tipo de lista simplifica muito o problema e causa uma certa "miopia" no mercado, que foca em apenas alguns tópicos em vez de tratar todo o problema. Mas, por outro lado, como a quantidade de alvos potenciais na Internet é muito grande, e como prevalece a existência de sites e serviços vulneráveis, qualquer pessoa que fizer o básico já estará muito mais protegida que a grande maioria. Em minha opinião, esse tipo de lista serve, inicialmente, para educar e dar um norte sobre as principais ações a serem focadas em um primeiro momento, Elas representam o nível mínimo de segurança que qualquer um deveria ter.

O Open Web Application Security Project (OWASP) é um projeto muito interessante para quem se interessa por segurança no desenvolvimento de software, e para quem já é especialista em uma área (Segurança ou Desenvolvimento) e quer ter um entendimento sobre a outra. Eles são uma comunidade aberta, dedicada a capacitar as organizações a desenvolver, adquirir e manter aplicações confiáveis. Eles tem diversos projetos que são tocados por voluntários de todo o mundo.