04 OWASP - Os 10 riscos críticos em segurança de aplicaçoes web

Prévia do material em texto

01/08/2021 AVA UNINOVE
https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 1/11
OWASP - Os 10 riscos críticos em
segurança de aplicações web
APRESENTAR UMA BREVE INTRODUÇÃO SOBRE OS 10 MAIORES RISCOS DOCUMENTADOS E
MONITORADOS EM SEGURANÇA DA INFORMAÇÃO PARA APLICAÇÕES WEB.
AUTOR(A): PROF. EDSON MELO DE SOUZA
1. Introdução
Uma das medidas protetivas contra falhas de segurança é manter efetivamente um forte controle sobre
ocorrências e incidentes reportados pela comunidade de desenvolvedores ao redor do mundo, além de uma
Política de Segurança ativa. Portanto, este tópico faz uma introdução ao OWASP, organização a qual
mantém os desenvolvedores atualizados sobre  ataques e defesas às aplicações web, a fim de fortalecer o
assunto entre programadores e empresas de todo o mundo.
2. O Que é o OWASP
O OWASP - “Open Web Application Security Project” , em tradução livre “Projeto Aberto de Segurança em
Aplicações Web”, é uma comunidade sem fins lucrativos criada em 2001 por  Mark Curphey e mantida por
especialistas em segurança da informação que atua de forma online disponibilizando relatórios com
problemas reportados sobre falhas de segurança, ameaças potenciais detectadas, ferramentas de
rastreamento e correção de falhas, metodologias de correção para as falhas, entre outras atividades.
01/08/2021 AVA UNINOVE
https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 2/11
A OWASP mantém uma lista com as 10 falhas de segurança mais perigosas para aplicações, além de
disponibilizar também métodos com boas práticas para o combater ataques, prevenir ameaças e remover
falhas de segurança.
O OWASP é direcionado a:
Estudantes da área da informática, principalmente desenvolvedores e de segurança da informação.
Pentesters e analistas de segurança.
Gerentes de tecnologia e de projetos.
Interessados pelo assunto
SAIBA MAIS!
OWASP Vitória (Brasil) - https://www.owasp.org/index.php/Vitoria
(https://www.owasp.org/index.php/Vitoria)
OneDayTesting - http://blog.onedaytesting.com.br/relatorio-owasp-riscos-seguranca/
(http://blog.onedaytesting.com.br/relatorio-owasp-riscos-seguranca/)
2.1. Como Funciona a OWASP
Mediante a publicação de artigos nos sites oficiais, além da disponibilização de manuais técnicos,
metodologias, ferramentas, os usuários da comunidade tomam conhecimento e fazem uso dos materiais.
Mundialmente são realizados encontros onde os participantes disseminam o conhecimento por meio de
palestras e há uma grande interação entre os participantes, o que faz com que novos problemas, ideias e
soluções sejam compartilhados com a comunidade. Por fim, os resultados são publicados, dando origem aos
itens citados anteriormente.
https://www.owasp.org/index.php/Vitoria
http://blog.onedaytesting.com.br/relatorio-owasp-riscos-seguranca/
01/08/2021 AVA UNINOVE
https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 3/11
2.2. Benefícios
Seguir as boas práticas da OWASP é importante para as empresas que atuam no mercado com
desenvolvimento de software, uma vez que transmitem, além do profissionalismo, segurança para seus
clientes, trazendo benefícios como:
Proteção contra ataques cibernéticos;
Diminuição de erros e falhas operacionais nos softwares desenvolvidos;
Aumento no sucesso das aplicações;
Melhoria da imagem da empresa no mercado.
Além das boas práticas, é importante que a empresa realize, periodicamente, Avaliações de Risco, conforme
as diretivas a seguir:
01/08/2021 AVA UNINOVE
https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 4/11
01/08/2021 AVA UNINOVE
https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 5/11
Legenda: VISãO GERAL DA FASE DE ANáLISE/AVALIAçãO DE RISCOS
SAIBA MAIS!
Conviso - https://blog.conviso.com.br/owasp-e-sua-importancia/
(https://blog.conviso.com.br/owasp-e-sua-importancia/)
2.3. Ranqueamento dos Riscos e Ameaças
O primeiro relatório divulgado pelo OWASP, em 2013, trouxe uma listagem com as 10 falhas de segurança e
riscos para aplicações web. A lista foi criada considerando o impacto causado por uma falha e, além disso,
apresenta exemplos de vulnerabilidades, possibilidades de ataques e como realizar a proteção ou as
contramedidas. Em 2017 foi lançada uma segunda versão atualizada, que trouxe alterações significativas,
alterando a ordem das ameaças, conforme pode ser visto na figura a seguir:
Foram categorizados três novos riscos em relação ao relatório anterior de 2013:
XML Entidades Externa (XXE) - permite que um invasor realize um ataque de “falsificação de
requisição ao servidor”, fazendo uso indevido dos recursos disponíveis.
Desserialização Insegura - A desserialização é a recuperação de dados (ou estado de um objeto) a
partir de um conjunto de bytes. Isso garante que os dados recuperados representem as mesmas
informações originais. Quando a desserialização não é realizada corretamente, um código remoto
https://blog.conviso.com.br/owasp-e-sua-importancia/
01/08/2021 AVA UNINOVE
https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 6/11
poderá ser executado e o invasor poderá conseguir privilégios de administrador no servidor e/ou na
rede. Algumas falhas deste tipo já foram reportadas nas linguagens PHP, Python, Java e ASP.Net.
Registro e Monitoramento Insuficientes - no desenvolvimento de uma aplicação não são implementados
mecanismos que registrem tentativas de acesso, permitindo que um invasor realize tentativas sem
nenhuma restrição quantitativa por meio de força bruta.
SAIBA MAIS!
Cipher - https://cipher.com/br/2017/04/16/owasp-top-10-2017-release-candidate/
(https://cipher.com/br/2017/04/16/owasp-top-10-2017-release-candidate/)
2.4. Ataques Reportados no Brasil
Segundo o CERT - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, em 2017
foram reportados 833.775 incidentes de segurança, um número 29% maior do que o ano anterior. Esses
números mostram que o crescimento das aplicações web estão crescendo, mas, em contrapartida, também
há aumento dos riscos de exposição.
Além das aplicações web, o crescimento da IoT - Internet das Coisas vem favorecendo o crescimento de
ataques no ambiente da internet, pois, à medida que cresce, expande as possibilidade de apresentarem
vulnerabilidades nos sistemas utilizados. Na figura a seguir são mostrados alguns números sobre incidentes
ocorridos no Brasil.
https://cipher.com/br/2017/04/16/owasp-top-10-2017-release-candidate/
01/08/2021 AVA UNINOVE
https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 7/11
FIQUE POR DENTRO!
DoS ou Denial of Service (do inglês Negação de Serviço) é uma técnica de ataque realizada pela
internet que busca tirar de serviço um equipamento conectado à internet. A técnica consiste em
enviar um número de requisições muito maior que o servidor pode administrar, levando ao
congelamento da sua operação e incapacidade de devolver respostas.
Finalizamos este tópico por aqui e, em breve, você estudará separadamente cada tipo de ameaça, podendo
se aprofundar no assunto. Caso tenha dúvidas, releia o conteúdo e os links de referência.
SAIBA MAIS!
01/08/2021 AVA UNINOVE
https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 8/11
Melhores Práticas OWASP - https://www.owasp.org/images/b/b3/OWASP_SCP_v1.3_pt-BR.pdf
(https://www.owasp.org/images/b/b3/OWASP_SCP_v1.3_pt-BR.pdf)
Resumo
Neste tópico você aprendeu sobre a OWASP e a importância dos controles na segurança da informação para
aplicações web, além da lista dos riscos e ameaças mais recorrentes. Também foram apresentados números
sobre os ataques realizados no Brasil e a nova classificação para as 10 ameaças mais perigosas para as
aplicações web.
 
ATIVIDADE FINAL
A OWASP tem como função 
A. Divulgar relatórios com problemas reportados sobre falhas de segurança, ameaças, metodologias,
documentação, ferramentas de rastreamento e correção de falhas, entre outras atividades. 
B. Criar políticas de segurança para as empresas utilizarem em suas rotinasde desenvolvimento. 
C. Realizar auditorias com o CERT.br, a fim de comunicar as empresas e desenvolvedores sobre
possíveis ameaças. 
D. Monitorar sites que possam apresentar vulnerabilidades e sugerir correções. 
É uma técnica de ataque realizada pela internet que busca tirar de
serviço um equipamento conectado à internet. Portanto, o texto fala do 
A. DoS
B. DNS
C. SMS
D. SQL Injection
A recuperação de dados (ou estado de um objeto) a partir de um
conjunto de bytes que garante que os dados recuperados   representem
as mesmas informações originais é uma descrição da categoria 
A. Desserialização Insegura. 
B. Entidades Externa (XXE). 
C. Requisições XML. 
https://www.owasp.org/images/b/b3/OWASP_SCP_v1.3_pt-BR.pdf
01/08/2021 AVA UNINOVE
https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 9/11
D. Requisições HTML. 
REFERÊNCIA
ASSUNÇÃO, Marcos Flávio Araújo. ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM
AMBIENTES WEB COM O USO DE FERRAMENTAS GRATUITAS. Projetos e Dissertações em Sistemas de
Informação e Gestão do Conhecimento, v. 4, n. 1, 2015.
DE HOLANDA, Maristela Terto; FERNANDES, Jorge Henrique Cabral. Segurança no desenvolvimento de
aplicações. Gestão da Segurança da Informação e Comunicações-CEGSIC2009-2011, 2009.
FORBELLONE, André Luiz Villar; EBERSPÄCHER, Henri Frederico. Lógica de programação: a construção de
algoritmos e estruturas de dados. São Paulo: Makron Books, 1993.
MARINHO, Carlos et al. Experiências no Uso da Metodologia Coding Dojo nas Disciplinas Básicas de
Programação de Computadores em um Curso Interdisciplinar do Ensino Superior. In: Anais dos Workshops
do Congresso Brasileiro de Informática na Educação. 2016. p. 1097.
MOURÃO, Andreza. Uma proposta da eficiência do uso da Metodologia Ativa Baseada em Problemas,
utilizando Dojo de Programação, aplicada na disciplina de Lógica de Programação. In: Anais do Workshop
de Informática na Escola. 2017. p. 667.
OWASP. Open Web Application Security Project. Disponível em:
<https://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project
(https://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project)>. Acesso em: 12
out. 2018.
OWASP. Top 10 Most Critical Web Application Security Risks. Disponível em:
<https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
(https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project)>. Acesso em: 12 out. 2018.
PRESSMAN, Roger; MAXIM, Bruce. Engenharia de Software-8ª Edição. McGraw Hill Brasil, 2016.
SICA, Carlos; REAL, Petter. Programação Segura utilizando PHP. São Paulo: STALLINGS, William.
Criptografia e segurança em redes, v. 4, 2007.
SOMMERVILLE, Ian; ARAKAKI, Reginaldo; MELNIKOFF, Selma Shin Shimizu. Engenharia de software.
Pearson Prentice Hall, 2008.
VIANA, Sidney et al. SEGURANÇA NO DESENVOLVIMENTO DE APLICAÇÕES WEB COM A QUALIDADE DOS
DADOS. Revista de Sistemas e Computação-RSC, v. 3, n. 2, 2013.
https://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
01/08/2021 AVA UNINOVE
https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 10/11
01/08/2021 AVA UNINOVE
https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 11/11