← Voltar ao Blog
Pesquisa 25 min de leitura

OWASP Top 10 2025: Guia Completo sobre Riscos de Segurança em Aplicações Web

O OWASP Top 10 é o padrão mais reconhecido mundialmente para riscos de segurança em aplicações web. Seja você desenvolvedor, engenheiro de segurança ou líder empresarial — este guia explica cada categoria com exemplos reais, técnicas de detecção e estratégias de remediação.

ℹ️ O que é o OWASP Top 10?

Um documento de conscientização atualizado periodicamente que classifica os riscos de segurança mais críticos para aplicações web. Baseado em análise de dados de centenas de organizações, pesquisas com a comunidade e dados reais de violações. Referenciado por PCI DSS, DORA, NIS2 e muitos padrões da indústria.


A01 Controle de Acesso Quebrado

Vulnerabilidade #1 mais comum — encontrada em 94% das aplicações testadas.

⚠️ Exemplos do Mundo Real

  • IDOR: Alterar /api/users/123/profile para /api/users/124/profile
  • Escalação de privilégios: Usuário comum acessando /admin/dashboard
  • Controle de acesso em nível de função ausente: API verifica autenticação mas não autorização
  • Má configuração de CORS: Permitir que sites maliciosos façam requisições autenticadas

✅ Remediação

  • Implementar controle de acesso no lado do servidor — nunca confiar no lado do cliente
  • Negar por padrão — exigir concessões explícitas
  • Implementar RBAC ou ABAC adequadamente
  • Registrar e alertar sobre falhas de controle de acesso
  • Limitar taxa de acesso às APIs

A02 Falhas Criptográficas

Anteriormente "Exposição de Dados Sensíveis" — renomeado para focar na causa raiz.

⚠️ Erros Comuns

  • Páginas de login transmitindo credenciais por HTTP simples
  • Suporte a TLS 1.0/1.1 ou suítes de cifra fracas
  • Senhas armazenadas com MD5 ou SHA-1 em vez de bcrypt/Argon2
  • Chaves de criptografia hardcoded no código-fonte
  • Backups de banco de dados sem criptografia

✅ Remediação

Forçar HTTPS em todos os lugares com HSTS. Usar AES-256, bcrypt/Argon2, SHA-256+. Nunca hardcodear segredos — usar Vault ou AWS Secrets Manager. Criptografar dados em repouso. Desabilitar TLS 1.0/1.1.

A03 Injeção

A vulnerabilidade web clássica — ainda no top 3 após duas décadas.

Tipos de Injeção

  • Injeção SQL: ' OR 1=1 -- e ataques muito mais sofisticados
  • Injeção NoSQL: Manipulação JSON do MongoDB/CouchDB
  • Injeção de Comando: Comandos do SO através de entradas da aplicação
  • XSS: Injeção de JavaScript — refletido, armazenado, baseado em DOM
  • Injeção de Template (SSTI): Código em engines de template do lado do servidor
  • Injeção de Cabeçalho: Manipulação de cabeçalhos HTTP

✅ Prevenção

Consultas parametrizadas para todas as interações com BD. Validação de entrada com listas permitidas. Codificação de saída para contexto. Cabeçalhos de Content Security Policy. Contas de BD com privilégios mínimos. Usar ORMs consistentemente.

A04 Design Inseguro

Nova categoria — falhas em nível de design, não bugs de implementação.

⚠️ Exemplos

  • Fluxo de redefinição de senha permitindo tentativas ilimitadas (sem limitação de taxa)
  • Aplicação de regras de negócio no lado do cliente (validação de preço em JS)
  • Chave API única concedendo acesso de leitura e escrita a todos os recursos

Correção: Integrar modelagem de ameaças (STRIDE, PASTA) na fase de design. Usar padrões de design seguro. Escrever casos de abuso junto com casos de uso.

A05 Má Configuração de Segurança

Encontrada em 90% das aplicações testadas.

⚠️ Más Configurações Comuns

  • Senhas padrão de admin em bancos de dados e painéis administrativos
  • Listagem de diretórios, endpoints de debug, mensagens de erro verbosas habilitadas
  • Cabeçalhos de segurança ausentes (CSP, X-Frame-Options, X-Content-Type-Options)
  • Buckets S3 ou blobs Azure publicamente acessíveis
  • Métodos HTTP desnecessários (PUT, DELETE, TRACE) habilitados

✅ Prevenção

Processo de hardening repetível. Remover todos os recursos desnecessários. Implementar todos os cabeçalhos de segurança. Automatizar gerenciamento de configuração com IaC. Auditorias regulares de configuração. Usar CSPM para nuvem.

A06 Componentes Vulneráveis e Desatualizados

528
Componentes Médios/App
84%
Códigos com Vulns Conhecidas
48%
Vulnerabilidades Alto Risco
252d
Tempo Médio de Correção

⚠️ Exemplos Notáveis

  • Log4Shell (CVE-2021-44228): RCE crítico afetando milhões de apps Java
  • Spring4Shell (CVE-2022-22965): RCE no Spring Framework
  • jQuery XSS: Muitas apps ainda usam versões vulneráveis do jQuery

Correção: Manter inventário de componentes (SBOM). Monitorar continuamente bancos de dados CVE. Remover dependências não utilizadas. Automatizar atualizações com Dependabot/Renovate.

A07 Falhas de Identificação e Autenticação

⚠️ Falhas Comuns

  • Credential stuffing: Ataques automatizados usando senhas roubadas
  • Políticas de senha fracas (permitindo "password123")
  • Fixação de sessão e ausência de invalidação de sessão
  • Tokens de sessão expostos em URLs
  • MFA ausente para funções críticas

✅ Prevenção

Implementar MFA. Forçar senhas fortes com verificação em banco de dados de violações. Limitação de taxa em endpoints de autenticação. Gerenciamento seguro de sessão (IDs aleatórios, flags HTTPOnly/Secure). Invalidar sessões no logout/mudança de senha.

A08 Falhas de Integridade de Software e Dados

⚠️ Ataques do Mundo Real

  • SolarWinds (2020): Código malicioso em atualização legítima de software — 18.000 organizações afetadas
  • Desserialização insegura: Execução arbitrária de código via dados não confiáveis
  • Comprometimento de pipeline CI/CD: Incidentes Codecov, ua-parser-js
  • SRI ausente: Carregamento de JS de CDNs sem hashes de integridade

Correção: Assinaturas digitais em todo software/dados. Subresource Integrity (SRI) para recursos externos. CI/CD seguro com controles de acesso e assinatura. Evitar desserialização insegura — usar JSON.

A09 Falhas de Logging e Monitoramento de Segurança

ℹ️ O Custo da Cegueira

Tempo médio para identificar uma violação: 204 dias (IBM 2024). Sem logging adequado, invasores podem estabelecer persistência, exfiltrar dados e expandir sua presença — tudo sem disparar alarmes.

Correção: Registrar todos os eventos de autenticação, falhas de controle de acesso e falhas de validação de entrada. Incluir contexto (timestamp, usuário, IP, ação). Centralizar logs em SIEM resistente a adulteração. Implementar alertas automatizados. Testar capacidades de detecção regularmente.

A10 Falsificação de Solicitação do Lado do Servidor (SSRF)

Nova categoria — adicionada devido ao aumento da prevalência em arquiteturas nativas da nuvem.

⚠️ Por que SSRF é Perigoso

  • Violação Capital One (2019): SSRF → metadados AWS → mais de 100M de registros de clientes expostos
  • Roubo de metadados de nuvem: Acesso a http://169.254.169.254/ para credenciais IAM
  • Acesso a serviços internos: Alcançar APIs, bancos de dados, painéis administrativos atrás do firewall

✅ Prevenção

Validar todas as URLs fornecidas pelo usuário no lado do servidor. Usar listas permitidas para domínios permitidos. Bloquear faixas de IP privadas (10.x, 172.16.x, 169.254.x, 127.x). Desabilitar esquemas de URL desnecessários (file://, gopher://). Usar IMDSv2 na AWS. Segmentar serviços de busca de URL.


Como o KENSAI Verifica o OWASP Top 10

Categoria OWASPCobertura KENSAI
A01 Controle de Acesso QuebradoTestes IDOR, bypass de autorização, verificações CORS
A02 Falhas CriptográficasAnálise TLS, verificação de cabeçalhos, verificação de criptografia
A03 InjeçãoSQL, XSS, injeção de comando, SSTI, injeção de cabeçalho
A04 Design InseguroLimitação de taxa, recursos previsíveis, testes de lógica
A05 Má Configuração de SegurançaCabeçalhos, padrões, divulgação de informações, métodos HTTP
A06 Componentes VulneráveisFingerprinting de tecnologia, banco de dados 332K+ CVEs
A07 Falhas de AutenticaçãoCredenciais padrão, testes de sessão, análise de cookies
A08 Falhas de IntegridadeVerificações SRI, testes de desserialização
A09 Falhas de LoggingAnálise de cabeçalhos de segurança, revisão de tratamento de erros
A10 SSRFInjeção de endpoint interno, testes de metadados de nuvem
332K+
CVEs Rastreados
10/10
Cobertura OWASP
IA
Precisão com IA
€990
Preço Inicial/mês

Teste Sua Aplicação Contra o OWASP Top 10

Verificação gratuita — sem compromisso, sem cartão de crédito necessário. DAST com IA e relatórios prontos para conformidade.

Iniciar Verificação Gratuita →

Perguntas Frequentes

Qual é a vulnerabilidade OWASP mais comum?

Controle de Acesso Quebrado (A01) — encontrada em 94% das aplicações testadas. Subiu da posição 5 para a posição 1, refletindo falha generalizada em aplicar autorização, particularmente em APIs e SPAs.

A conformidade com OWASP Top 10 é obrigatória?

O OWASP Top 10 em si é voluntário. No entanto, é referenciado pelo PCI DSS (requer abordar o OWASP Top 10), NIS2 (espera gerenciamento sistemático de vulnerabilidades), DORA (referencia testes padrão da indústria) e muitas avaliações de fornecedores. Na prática, é efetivamente obrigatório.

Ferramentas automatizadas podem detectar todo o OWASP Top 10?

Ferramentas DAST automatizadas detectam efetivamente a maioria das categorias — especialmente injeção (A03), falhas criptográficas (A02), má configuração (A05) e componentes vulneráveis (A06). Algumas categorias como Design Inseguro (A04) e Falhas de Logging (A09) frequentemente requerem avaliação manual. Use verificação automatizada para amplitude + testes manuais para profundidade.

Com que frequência o OWASP Top 10 é atualizado?

A cada 3-4 anos. Lançamentos principais: 2013, 2017, 2021. Cada atualização reflete mudanças no cenário de ameaças — a atualização de 2021 introduziu Design Inseguro (A04) e SSRF (A10) enquanto reorganizava outros.

Segurança não é opcional.

🗡️ Equipe KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home