OWASP lança o Top 10 2017 Security Risks

Na última segunda-feira, dia 20 de novembro,   o Open Web Application Security Project (OWASP) lançou oficialmente a atualização dos 10 principais riscos de segurança de aplicações web .  De acordo com o OWASP,  algumas mudanças significativas ocorreram desde a  última vez que a lista foi divulgada (em 2013) e contribuíram para a atualização do Top 10 Security Risks, isso inclui, aplicativos de página única e o domínio do JavaScript como principal linguagem de programação na web.

Segue abaixo o OWASP Top 10 2017:

A1:2017 – Injection
A2:2017 – Broken Authentication
A3:2017 – Sensitive Data Exposure
A4:2017 – XML External Entities (XXE)
A5:2017 – Broken Access Cont
A6:2017 – Security Misconfiguration
A7:2017 – Cross-Site Scripting (XSS)
A8:2017 – Insecure Deserialization
A9:2017 – Using Components with Known Vulnerabilities
A10:2017 – Insufficient Logging & Monitoring

Assim como nos anos anteriores, a injeção continuou sendo o maior risco de segurança de aplicativos, contudo, houve uma significativa mudança no ranking, com a aparição de três itens recém-chegados. São eles: A4 – XML External Entities (XXE)A8 – Insecure Deserialization e A10 – Insufficient Logging & Monitoring. Vejamos abaixo algumas características dessas novas falhas.

A4 – XML External Entities (XXE)
Muitos processadores XML antigos ou mal configurados avaliam referências de entidades externas em documentos XML. As entidades externas podem ser usadas para divulgar arquivos internos usando o manipulador URI do arquivo, compartilhamentos internos de arquivos, digitalização de portas internas, execução de código remoto e ataques de negação de serviço.

A8 – Insecure Deserialization
A deserialização insegura geralmente leva à execução remota de código. Mesmo que as falhas de deserialização não resultem na execução remota de código, elas podem ser usadas para realizar ataques, incluindo ataques do tipo replay, ataques de injeção e ataques de elevação de privilégios.

A10 – Insufficient Logging & Monitoring
A falta de monitoramento de eventos e registros de log, juntamente com a integração ineficiente dessas informações na na resposta de incidentes, permite aos cibercriminosos realizar ataques ao sistema, além de permitir o acesso, extração e destruição de dados e informações sensíveis. A maioria dos estudos na área de Segurança da Informação mostra que o tempo para detectar uma violação de segurança é superior a 200 dias, normalmente detectado por terceiros ao invés de processos internos ou monitoramento de eventos.

Para mais informações, clique aqui.