O OWASP Top 10 é o padrão mais amplamente reconhecido para riscos de segurança em aplicações web. Seja você desenvolvedor, engenheiro de segurança ou líder de negócios — este guia explica cada categoria com exemplos do mundo real, técnicas de detecção e estratégias de remediação.
Um documento de conscientização periodicamente atualizado que classifica os riscos de segurança mais críticos para aplicações web. Baseado em análise de dados de centenas de organizações, pesquisas comunitárias e dados reais de violações. Referenciado por PCI DSS, DORA, NIS2 e muitos padrões da indústria.
Vulnerabilidade #1 mais comum — encontrada em 94% das aplicações testadas.
/api/users/123/profile para /api/users/124/profile/admin/dashboardAnteriormente "Exposição de Dados Sensíveis" — renomeado para focar na causa raiz.
Forçar HTTPS em todos os lugares com HSTS. Use AES-256, bcrypt/Argon2, SHA-256+. Nunca codifique segredos diretamente — use Vault ou AWS Secrets Manager. Criptografe dados em repouso. Desabilite TLS 1.0/1.1.
A vulnerabilidade web clássica — ainda no top 3 após duas décadas.
' OR 1=1 -- e ataques muito mais sofisticadosConsultas parametrizadas para todas as interações com BD. Validação de entrada com listas permitidas. Codificação de saída para contexto. Cabeçalhos de Content Security Policy. Contas de BD com menor privilégio. Use ORMs consistentemente.
Nova categoria — falhas em nível de design, não bugs de implementação.
Correção: Integrar modelagem de ameaças (STRIDE, PASTA) na fase de design. Usar padrões de design seguro. Escrever casos de abuso junto com casos de uso.
Encontrada em 90% das aplicações testadas.
Processo de hardening repetível. Remover todos os recursos desnecessários. Implementar todos os cabeçalhos de segurança. Automatizar gestão de configuração com IaC. Auditorias regulares de configuração. Use CSPM para nuvem.
Correção: Manter inventário de componentes (SBOM). Monitorar continuamente bancos de dados CVE. Remover dependências não utilizadas. Automatizar atualizações com Dependabot/Renovate.
Implementar MFA. Forçar senhas fortes com verificação de banco de dados de violações. Limitação de taxa em endpoints de autenticação. Gestão segura de sessão (IDs aleatórios, flags HTTPOnly/Secure). Invalidar sessões no logout/mudança de senha.
Correção: Assinaturas digitais em todo software/dados. Subresource Integrity (SRI) para recursos externos. CI/CD seguro com controles de acesso e assinatura. Evitar desserialização insegura — use JSON.
Tempo médio para identificar uma violação: 204 dias (IBM 2024). Sem registro adequado, atacantes podem estabelecer persistência, exfiltrar dados e expandir sua presença — tudo sem disparar alarmes.
Correção: Registrar todos os eventos de autenticação, falhas de controle de acesso e falhas de validação de entrada. Incluir contexto (timestamp, usuário, IP, ação). Centralizar logs em um SIEM à prova de adulteração. Implementar alertas automatizados. Testar capacidades de detecção regularmente.
Nova categoria — adicionada devido à crescente prevalência em arquiteturas nativas de nuvem.
http://169.254.169.254/ para credenciais IAMValidar todas as URLs fornecidas pelo usuário no lado do servidor. Usar listas permitidas para domínios permitidos. Bloquear faixas de IP privadas (10.x, 172.16.x, 169.254.x, 127.x). Desabilitar esquemas de URL desnecessários (file://, gopher://). Usar IMDSv2 na AWS. Segmentar serviços de busca de URL.
| Categoria OWASP | Cobertura KENSAI |
|---|---|
| A01 Quebra de Controle de Acesso | Teste de IDOR, bypass de autorização, verificações de CORS |
| A02 Falhas Criptográficas | Análise TLS, verificação de cabeçalhos, verificação de criptografia |
| A03 Injeção | Injeção SQL, XSS, comando, SSTI, cabeçalho |
| A04 Design Inseguro | Limitação de taxa, recursos previsíveis, teste de lógica |
| A05 Configuração Incorreta | Cabeçalhos, padrões, divulgação de informações, métodos HTTP |
| A06 Componentes Vulneráveis | Fingerprinting de tecnologia, banco de dados de 332K+ CVEs |
| A07 Falhas de Autenticação | Credenciais padrão, teste de sessão, análise de cookies |
| A08 Falhas de Integridade | Verificações de SRI, teste de desserialização |
| A09 Falhas de Registro | Análise de cabeçalhos de segurança, revisão de tratamento de erros |
| A10 SSRF | Injeção de endpoint interno, teste de metadados de nuvem |
Varredura gratuita — sem compromisso, sem cartão de crédito. DAST potencializado por IA com relatórios prontos para conformidade.
Iniciar Varredura Gratuita →Quebra de Controle de Acesso (A01) — encontrada em 94% das aplicações testadas. Ela saiu da posição 5 para a posição 1, refletindo falhas generalizadas em forçar autorização, particularmente em APIs e SPAs.
O OWASP Top 10 em si é voluntário. No entanto, é referenciado pelo PCI DSS (exige abordar o OWASP Top 10), NIS2 (espera gestão sistemática de vulnerabilidades), DORA (referencia testes padrão da indústria) e muitas avaliações de fornecedores. Na prática, é efetivamente obrigatório.
Ferramentas DAST automatizadas detectam efetivamente a maioria das categorias — especialmente injeção (A03), falhas criptográficas (A02), configuração incorreta (A05) e componentes vulneráveis (A06). Algumas categorias como Design Inseguro (A04) e Falhas de Registro (A09) frequentemente exigem avaliação manual. Use varredura automatizada para amplitude + testes manuais para profundidade.
A cada 3–4 anos. Lançamentos principais: 2013, 2017, 2021. Cada atualização reflete mudanças no cenário de ameaças — a atualização de 2021 introduziu Design Inseguro (A04) e SSRF (A10) enquanto reorganizou outras.
Segurança não é opcional.
🗡️ A Equipe KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →