O que é o OWASP Top 10 e – tão importante quanto – o que não é? Nesta revisão, veremos como você pode fazer esse relatório de risco crítico funcionar para você e sua organização.
O que é OWASP?
OWASP é o Open Web Application Security Project, uma organização internacional sem fins lucrativos dedicada a melhorar a segurança de aplicativos da web.
Ele opera com o princípio central de que todos os seus materiais estão disponíveis gratuitamente e facilmente acessíveis on-line, para que qualquer pessoa em qualquer lugar possa melhorar a segurança de seu próprio aplicativo da web. Ele oferece uma série de ferramentas, vídeos e fóruns para ajudá-lo a fazer isso – mas seu projeto mais conhecido é o OWASP Top 10.
Os 10 principais riscos
O OWASP Top 10 descreve os riscos mais críticos para a segurança de aplicativos da web. Elaborada por uma equipe de especialistas em segurança de todo o mundo, a lista foi projetada para aumentar a conscientização sobre o cenário de segurança atual e oferecer aos desenvolvedores e profissionais de segurança insights valiosos sobre os riscos de segurança mais recentes e difundidos.
Ele também inclui uma lista de verificação e conselhos de correção que os especialistas podem incluir em suas próprias práticas e operações de segurança para minimizar e/ou mitigar o risco de seus aplicativos.
Por que você deve usá-lo
A OWASP atualiza seu Top 10 a cada dois ou três anos à medida que o mercado de aplicativos da Web evolui e é o padrão-ouro para algumas das maiores organizações do mundo.
Como tal, você pode ser visto como estando aquém da conformidade e segurança se não abordar as vulnerabilidades listadas no Top 10. Por outro lado, integrar a lista em suas operações e desenvolvimento de software mostra um compromisso com as melhores práticas do setor.
E por que você não deveria usá-lo
Alguns especialistas acreditam que o OWASP Top 10 é falho porque a lista é muito limitada e carece de contexto. Ao se concentrar apenas nos 10 principais riscos, negligencia a cauda longa. Além disso, a comunidade OWASP muitas vezes discute sobre o ranking e se o 11º ou 12º pertence à lista em vez de algo mais alto.
Há algum mérito nesses argumentos, mas o OWASP Top 10 ainda é o principal fórum para abordar codificação e testes com reconhecimento de segurança. É fácil de entender, ajuda os usuários a priorizar o risco e é acionável. E, na maioria das vezes, concentra-se nas ameaças mais críticas, em vez de vulnerabilidades específicas.
Então, qual é a resposta?
As vulnerabilidades de aplicativos da Web são ruins para as empresas e ruins para os consumidores. Grandes violações podem resultar em enormes quantidades de dados roubados. Essas violações nem sempre são causadas por organizações que não abordam o OWASP Top 10, mas são alguns dos maiores problemas. E não adianta se preocupar com falhas obscuras de dia zero em seu firewall se você não for bloquear injeção, captura de sessão ou XSS.
Então o que você deveria fazer? Em primeiro lugar, treine todos para uma boa higiene de segurança. Faça testes dinâmicos de segurança de aplicativos, incluindo testes de penetração. Garanta que os administradores protejam adequadamente os aplicativos. E use um scanner de vulnerabilidade online.
Nós possuimos um episódio do SegInfocast dedicado especialmente ao Top 10 do OWASP. Clique aqui e confira.
Fonte: thehackernews.com
Posts relacionados: SegInfocast #81 – OWASP Top 10 2021 – 10 Principais Vulnerabilidades em Aplicações Web / Um guia para codificação segura do OWASP e OWASP Top 10 Liberadas as Vulnerabilidades principais de 2021