Projeto OWASP Top 10 2017: lançamento da versão apresenta duas novas categorias

O projeto OWASP TOP 10 lançou na última segunda-feira, 10 de abril, a nova lista das principais vulnerabilidades  encontradas em aplicações web, exibindo os efeitos, risco e formas de mitigação.

Qual é o propósito do projeto OWASP Top 10?

O projeto OWASP Top 10 divulga as dez maiores falhas e riscos de segurança em aplicações web, apontando para cada risco, sua descrição, os exemplos de vulnerabilidades, possíveis ataques e suas contramedidas.

As novas categorias da versão 2017

A versão de 2017 trouxe como novidade duas novas categorias:

  • A7 – Insufficient Attack Protection;
  • A10 –  Underprotected APIs;

Veja abaixo a comparação da versão atual e anterior do OWASP Top 10:

Conforme ilustrado na figura acima, o OWASP realizou o merge entre as categorias “Insecure Direct Object References” e “Missing Function Level Access Control” para dar lugar ao “Broken Access Control” na 4ª posição, assim como era em 2004. Além disso, o novo “Insufficient Attack Protection” foi alocado na 7ª posição, enquanto o “Underprotected APIs” recebeu a 10ª colocação na lista.

A OWASP forneceu a seguinte descrição para a categoria Insufficient Attack Protection: “A maioria das aplicações e APIs não possuem qualquer capacidade de detectar, prevenir e responder a ataques manuais e automatizados. A proteção contra ataques vai muito além da validação de entradas  e envolve detecção, registro, resposta e até mesmo bloqueio de tentativas de invasão. Os proprietários de aplicativos também precisam ser capazes de implantar correções rapidamente para proteger contra ataques. “

Quanto à categoria Underprotected APIs, a OWASP afirmou: “As aplicações atuais geralmente exigem APIs e aplicações rich client, como JavaScript no navegador e aplicativos móveis, que se conectam a algum tipo de API (SOAP/XML, REST/JSON, RPC, GWT etc.). Estas APIs são frequentemente desprotegidas e contêm inúmeras vulnerabilidades. “

Para mais informações clique aqui