← Voltar ao Blog
Pesquisa 25 min de leitura

OWASP Top 10 2025: O Guia Completo de Riscos de Segurança em Aplicações Web

O OWASP Top 10 é o padrão mais amplamente reconhecido para riscos de segurança em aplicações web. Seja você desenvolvedor, engenheiro de segurança ou líder de negócios — este guia explica cada categoria com exemplos do mundo real, técnicas de detecção e estratégias de remediação.

ℹ️ O que é o OWASP Top 10?

Um documento de conscientização periodicamente atualizado que classifica os riscos de segurança mais críticos para aplicações web. Baseado em análise de dados de centenas de organizações, pesquisas comunitárias e dados reais de violações. Referenciado por PCI DSS, DORA, NIS2 e muitos padrões da indústria.


A01 Quebra de Controle de Acesso

Vulnerabilidade #1 mais comum — encontrada em 94% das aplicações testadas.

⚠️ Exemplos do Mundo Real

  • IDOR: Mudar /api/users/123/profile para /api/users/124/profile
  • Escalação de privilégios: Usuário regular acessando /admin/dashboard
  • Falta de controle de acesso em nível de função: API verifica autenticação mas não autorização
  • Configuração incorreta de CORS: Permitir que sites maliciosos façam requisições autenticadas

✅ Remediação

  • Implementar controle de acesso no lado do servidor — nunca confie no lado do cliente
  • Negar por padrão — exigir concessões explícitas
  • Implementar RBAC ou ABAC adequado
  • Registrar e alertar sobre falhas de controle de acesso
  • Limitar taxa de acesso à API

A02 Falhas Criptográficas

Anteriormente "Exposição de Dados Sensíveis" — renomeado para focar na causa raiz.

⚠️ Erros Comuns

  • Páginas de login transmitindo credenciais por HTTP simples
  • Suporte a TLS 1.0/1.1 ou conjuntos de cifras fracas
  • Senhas armazenadas com MD5 ou SHA-1 em vez de bcrypt/Argon2
  • Chaves de criptografia codificadas diretamente no código-fonte
  • Backups de banco de dados sem criptografia

✅ Remediação

Forçar HTTPS em todos os lugares com HSTS. Use AES-256, bcrypt/Argon2, SHA-256+. Nunca codifique segredos diretamente — use Vault ou AWS Secrets Manager. Criptografe dados em repouso. Desabilite TLS 1.0/1.1.

A03 Injeção

A vulnerabilidade web clássica — ainda no top 3 após duas décadas.

Tipos de Injeção

  • Injeção SQL: ' OR 1=1 -- e ataques muito mais sofisticados
  • Injeção NoSQL: Manipulação JSON de MongoDB/CouchDB
  • Injeção de Comandos: Comandos do SO através de entradas da aplicação
  • XSS: Injetar JavaScript — refletido, armazenado, baseado em DOM
  • Injeção de Template (SSTI): Código em motores de template do lado do servidor
  • Injeção de Cabeçalho: Manipulação de cabeçalhos HTTP

✅ Prevenção

Consultas parametrizadas para todas as interações com BD. Validação de entrada com listas permitidas. Codificação de saída para contexto. Cabeçalhos de Content Security Policy. Contas de BD com menor privilégio. Use ORMs consistentemente.

A04 Design Inseguro

Nova categoria — falhas em nível de design, não bugs de implementação.

⚠️ Exemplos

  • Fluxo de redefinição de senha permitindo tentativas ilimitadas (sem limitação de taxa)
  • Aplicação de regras de negócio no lado do cliente (validação de preço em JS)
  • Chave única de API concedendo acesso de leitura e escrita a todos os recursos

Correção: Integrar modelagem de ameaças (STRIDE, PASTA) na fase de design. Usar padrões de design seguro. Escrever casos de abuso junto com casos de uso.

A05 Configuração Incorreta de Segurança

Encontrada em 90% das aplicações testadas.

⚠️ Configurações Incorretas Comuns

  • Senhas de administrador padrão em bancos de dados e painéis de admin
  • Listagem de diretórios, endpoints de debug, mensagens de erro verbosas habilitadas
  • Falta de cabeçalhos de segurança (CSP, X-Frame-Options, X-Content-Type-Options)
  • Buckets S3 ou blobs Azure acessíveis publicamente
  • Métodos HTTP desnecessários (PUT, DELETE, TRACE) habilitados

✅ Prevenção

Processo de hardening repetível. Remover todos os recursos desnecessários. Implementar todos os cabeçalhos de segurança. Automatizar gestão de configuração com IaC. Auditorias regulares de configuração. Use CSPM para nuvem.

A06 Componentes Vulneráveis e Desatualizados

528
Componentes Médios/App
84%
Códigos com Vulns Conhecidas
48%
Vulnerabilidades Alto Risco
252d
Tempo Médio de Correção

⚠️ Exemplos Notáveis

  • Log4Shell (CVE-2021-44228): RCE crítico afetando milhões de apps Java
  • Spring4Shell (CVE-2022-22965): RCE no Spring Framework
  • jQuery XSS: Muitos apps ainda usam versões vulneráveis do jQuery

Correção: Manter inventário de componentes (SBOM). Monitorar continuamente bancos de dados CVE. Remover dependências não utilizadas. Automatizar atualizações com Dependabot/Renovate.

A07 Falhas de Identificação e Autenticação

⚠️ Falhas Comuns

  • Credential stuffing: Ataques automatizados usando senhas roubadas
  • Políticas de senha fracas (permitindo "senha123")
  • Fixação de sessão e falta de invalidação de sessão
  • Tokens de sessão expostos em URLs
  • Falta de MFA para funções críticas

✅ Prevenção

Implementar MFA. Forçar senhas fortes com verificação de banco de dados de violações. Limitação de taxa em endpoints de autenticação. Gestão segura de sessão (IDs aleatórios, flags HTTPOnly/Secure). Invalidar sessões no logout/mudança de senha.

A08 Falhas de Integridade de Software e Dados

⚠️ Ataques do Mundo Real

  • SolarWinds (2020): Código malicioso em atualização legítima de software — 18.000 orgs afetadas
  • Desserialização insegura: Execução de código arbitrário via dados não confiáveis
  • Comprometimento de pipeline CI/CD: Incidentes Codecov, ua-parser-js
  • Falta de SRI: Carregar JS de CDNs sem hashes de integridade

Correção: Assinaturas digitais em todo software/dados. Subresource Integrity (SRI) para recursos externos. CI/CD seguro com controles de acesso e assinatura. Evitar desserialização insegura — use JSON.

A09 Falhas de Registro e Monitoramento de Segurança

ℹ️ O Custo da Cegueira

Tempo médio para identificar uma violação: 204 dias (IBM 2024). Sem registro adequado, atacantes podem estabelecer persistência, exfiltrar dados e expandir sua presença — tudo sem disparar alarmes.

Correção: Registrar todos os eventos de autenticação, falhas de controle de acesso e falhas de validação de entrada. Incluir contexto (timestamp, usuário, IP, ação). Centralizar logs em um SIEM à prova de adulteração. Implementar alertas automatizados. Testar capacidades de detecção regularmente.

A10 Falsificação de Solicitação do Lado do Servidor (SSRF)

Nova categoria — adicionada devido à crescente prevalência em arquiteturas nativas de nuvem.

⚠️ Por que SSRF é Perigoso

  • Violação Capital One (2019): SSRF → metadados AWS → 100M+ registros de clientes expostos
  • Roubo de metadados de nuvem: Acessar http://169.254.169.254/ para credenciais IAM
  • Acesso a serviços internos: Alcançar APIs, bancos de dados, painéis de admin atrás do firewall

✅ Prevenção

Validar todas as URLs fornecidas pelo usuário no lado do servidor. Usar listas permitidas para domínios permitidos. Bloquear faixas de IP privadas (10.x, 172.16.x, 169.254.x, 127.x). Desabilitar esquemas de URL desnecessários (file://, gopher://). Usar IMDSv2 na AWS. Segmentar serviços de busca de URL.


Como o KENSAI Faz Varredura do OWASP Top 10

Categoria OWASPCobertura KENSAI
A01 Quebra de Controle de AcessoTeste de IDOR, bypass de autorização, verificações de CORS
A02 Falhas CriptográficasAnálise TLS, verificação de cabeçalhos, verificação de criptografia
A03 InjeçãoInjeção SQL, XSS, comando, SSTI, cabeçalho
A04 Design InseguroLimitação de taxa, recursos previsíveis, teste de lógica
A05 Configuração IncorretaCabeçalhos, padrões, divulgação de informações, métodos HTTP
A06 Componentes VulneráveisFingerprinting de tecnologia, banco de dados de 332K+ CVEs
A07 Falhas de AutenticaçãoCredenciais padrão, teste de sessão, análise de cookies
A08 Falhas de IntegridadeVerificações de SRI, teste de desserialização
A09 Falhas de RegistroAnálise de cabeçalhos de segurança, revisão de tratamento de erros
A10 SSRFInjeção de endpoint interno, teste de metadados de nuvem
332K+
CVEs Rastreadas
10/10
Cobertura OWASP
IA
Precisão Potencializada
€990
Preço Inicial/mês

Teste Sua Aplicação Contra o OWASP Top 10

Varredura gratuita — sem compromisso, sem cartão de crédito. DAST potencializado por IA com relatórios prontos para conformidade.

Iniciar Varredura Gratuita →

FAQ

Qual é a vulnerabilidade OWASP mais comum?

Quebra de Controle de Acesso (A01) — encontrada em 94% das aplicações testadas. Ela saiu da posição 5 para a posição 1, refletindo falhas generalizadas em forçar autorização, particularmente em APIs e SPAs.

A conformidade com o OWASP Top 10 é obrigatória?

O OWASP Top 10 em si é voluntário. No entanto, é referenciado pelo PCI DSS (exige abordar o OWASP Top 10), NIS2 (espera gestão sistemática de vulnerabilidades), DORA (referencia testes padrão da indústria) e muitas avaliações de fornecedores. Na prática, é efetivamente obrigatório.

Ferramentas automatizadas podem detectar todo o OWASP Top 10?

Ferramentas DAST automatizadas detectam efetivamente a maioria das categorias — especialmente injeção (A03), falhas criptográficas (A02), configuração incorreta (A05) e componentes vulneráveis (A06). Algumas categorias como Design Inseguro (A04) e Falhas de Registro (A09) frequentemente exigem avaliação manual. Use varredura automatizada para amplitude + testes manuais para profundidade.

Com que frequência o OWASP Top 10 é atualizado?

A cada 3–4 anos. Lançamentos principais: 2013, 2017, 2021. Cada atualização reflete mudanças no cenário de ameaças — a atualização de 2021 introduziu Design Inseguro (A04) e SSRF (A10) enquanto reorganizou outras.

Segurança não é opcional.

🗡️ A Equipe KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home