Governança, risco e compliance em português · gratuito, sem cadastro e nada é salvo

OWASP Top 10 (2021) Referência de riscos

10 controles, organizados por grupo, com resumo em português.

Fazer a avaliação

Documento de conscientização que apresenta as categorias de riscos mais relevantes em aplicações web. Ajuda equipes a entender as vulnerabilidades mais importantes, mas não deve ser usado isoladamente como framework completo de compliance ou metodologia detalhada de auditoria. O Top 10 indica o que pode dar errado; o OWASP ASVS ajuda a verificar quais controles implementar.

Fonte oficial · A cor indica o perfil em que cada controle entra: Básico Intermediário Avançado.

Riscos oficiais do OWASP Top 10 2021 (material aberto, CC). Descrições em português pela InfoCuestaSec. Para avaliações técnicas e homologação, use o OWASP ASVS, com requisitos verificáveis organizados por níveis. Divisão em perfis é didática.

top10 OWASP Top 10 (2021)

  • A01
    Broken Access Control — falhas de controle de acesso (usuário faz o que não deveria). Acontece quando usuários conseguem acessar dados ou funções além do permitido — ver contas alheias, alterar registros, virar admin. É o risco nº 1; garanta que cada ação verifique a permissão no servidor, nunca só na tela.
    Básico
  • A02
    Cryptographic Failures — falhas de criptografia/proteção de dados sensíveis. Falta ou uso errado de criptografia expõe dados sensíveis (senhas, cartões, dados pessoais) em trânsito ou em repouso. Use HTTPS/TLS, algoritmos fortes e nunca guarde senha em texto claro.
    Básico
  • A03
    Injection — injeção (SQL, comandos, etc.) por entrada não validada. Entrada não validada é interpretada como comando (SQL, NoSQL, sistema operacional), permitindo roubar ou destruir dados. Previna com consultas parametrizadas e validação/escape das entradas.
    Básico
  • A04
    Insecure Design — falhas de design inseguro (falta de threat modeling e padrões seguros). Falhas que nascem na concepção do sistema, não no código — faltou pensar em segurança desde o design (threat modeling, padrões seguros). Nenhuma implementação bem feita conserta um design inseguro.
    Intermediário
  • A05
    Security Misconfiguration — configuração de segurança incorreta ou padrão. Configurações inseguras ou de fábrica: serviços expostos, permissões abertas, erros detalhados, recursos desnecessários ligados. Endureça e revise as configurações de todo o ambiente.
    Básico
  • A06
    Vulnerable and Outdated Components — componentes vulneráveis ou desatualizados. Usar bibliotecas, frameworks ou softwares com vulnerabilidades conhecidas ou sem suporte. Mantenha um inventário de componentes e atualize/patcheie continuamente.
    Intermediário
  • A07
    Identification and Authentication Failures — falhas de identificação e autenticação. Falhas no login e na sessão — senhas fracas, força bruta, sessões que não expiram, falta de MFA. Permitem que atacantes assumam contas de usuários.
    Básico
  • A08
    Software and Data Integrity Failures — falhas de integridade de software e dados (supply chain, CI/CD). Confiar em código, atualizações ou dados sem verificar a integridade (pipelines CI/CD, dependências, updates). Abre porta a ataques de cadeia de suprimentos; assine e valide o que você executa.
    Avançado
  • A09
    Security Logging and Monitoring Failures — falhas de log e monitoramento de segurança. Sem registros e monitoramento adequados, ataques passam despercebidos e a resposta chega tarde. Registre eventos de segurança, proteja os logs e configure alertas.
    Intermediário
  • A10
    Server-Side Request Forgery (SSRF) — requisições forjadas a partir do servidor. O servidor é induzido a fazer requisições a destinos escolhidos pelo atacante (rede interna, metadados de nuvem). Valide e restrinja as URLs e destinos que a aplicação pode acessar.
    Intermediário