OWASP Top 10 (2021) Referência de riscos
10 controles, organizados por grupo, com resumo em português.
Documento de conscientização que apresenta as categorias de riscos mais relevantes em aplicações web. Ajuda equipes a entender as vulnerabilidades mais importantes, mas não deve ser usado isoladamente como framework completo de compliance ou metodologia detalhada de auditoria. O Top 10 indica o que pode dar errado; o OWASP ASVS ajuda a verificar quais controles implementar.
Fonte oficial · A cor indica o perfil em que cada controle entra: Básico Intermediário Avançado.
Riscos oficiais do OWASP Top 10 2021 (material aberto, CC). Descrições em português pela InfoCuestaSec. Para avaliações técnicas e homologação, use o OWASP ASVS, com requisitos verificáveis organizados por níveis. Divisão em perfis é didática.
top10 OWASP Top 10 (2021)
-
A01
Broken Access Control — falhas de controle de acesso (usuário faz o que não deveria). Acontece quando usuários conseguem acessar dados ou funções além do permitido — ver contas alheias, alterar registros, virar admin. É o risco nº 1; garanta que cada ação verifique a permissão no servidor, nunca só na tela.Básico
-
A02
Cryptographic Failures — falhas de criptografia/proteção de dados sensíveis. Falta ou uso errado de criptografia expõe dados sensíveis (senhas, cartões, dados pessoais) em trânsito ou em repouso. Use HTTPS/TLS, algoritmos fortes e nunca guarde senha em texto claro.Básico
-
A03
Injection — injeção (SQL, comandos, etc.) por entrada não validada. Entrada não validada é interpretada como comando (SQL, NoSQL, sistema operacional), permitindo roubar ou destruir dados. Previna com consultas parametrizadas e validação/escape das entradas.Básico
-
A04
Insecure Design — falhas de design inseguro (falta de threat modeling e padrões seguros). Falhas que nascem na concepção do sistema, não no código — faltou pensar em segurança desde o design (threat modeling, padrões seguros). Nenhuma implementação bem feita conserta um design inseguro.Intermediário
-
A05
Security Misconfiguration — configuração de segurança incorreta ou padrão. Configurações inseguras ou de fábrica: serviços expostos, permissões abertas, erros detalhados, recursos desnecessários ligados. Endureça e revise as configurações de todo o ambiente.Básico
-
A06
Vulnerable and Outdated Components — componentes vulneráveis ou desatualizados. Usar bibliotecas, frameworks ou softwares com vulnerabilidades conhecidas ou sem suporte. Mantenha um inventário de componentes e atualize/patcheie continuamente.Intermediário
-
A07
Identification and Authentication Failures — falhas de identificação e autenticação. Falhas no login e na sessão — senhas fracas, força bruta, sessões que não expiram, falta de MFA. Permitem que atacantes assumam contas de usuários.Básico
-
A08
Software and Data Integrity Failures — falhas de integridade de software e dados (supply chain, CI/CD). Confiar em código, atualizações ou dados sem verificar a integridade (pipelines CI/CD, dependências, updates). Abre porta a ataques de cadeia de suprimentos; assine e valide o que você executa.Avançado
-
A09
Security Logging and Monitoring Failures — falhas de log e monitoramento de segurança. Sem registros e monitoramento adequados, ataques passam despercebidos e a resposta chega tarde. Registre eventos de segurança, proteja os logs e configure alertas.Intermediário
-
A10
Server-Side Request Forgery (SSRF) — requisições forjadas a partir do servidor. O servidor é induzido a fazer requisições a destinos escolhidos pelo atacante (rede interna, metadados de nuvem). Valide e restrinja as URLs e destinos que a aplicação pode acessar.Intermediário