A sigla OWASP é a abreviação para “Open Web Application Security Project” (OWASP Top 10). Trata-se de uma entidade sem fins lucrativos e com reconhecimento internacional, atuando com foco na colaboração para o fortalecimento da segurança de softwares em todo o mundo. O OWASP mantém uma lista com os 10 principais riscos de segurança em aplicativos Web mais críticos, juntamente com os métodos mais eficazes para lidar com eles.
Você também pode ouvir este artigo:
Neste ano, em 2021, a lista dessas falhas de segurança foi atualizada, uma vez que essa atualização acontece a cada 4 anos. Mas dessa vez, não vamos falar apenas sobre esta lista. E sim, iremos desmistificar a interpretação deste modelo.
Desmistificando o Owasp Top 10
Um erro que muitos cometem é associar os 10 itens a 10 tipos de vulnerabilidades, quando, na verdade são 10 categorias de riscos associados a aplicações. E dentro da atualização do Owasp Top 10 em 2021, as categorias estão melhor estruturadas. Anteriormente, ao mesmo tempo, em que falavam que determinado item não era vulnerabilidade, ou um ataque, era muito claro que era associado a vulnerabilidade, como, por exemplo, o Cross-site scripting.
Em 2021, começamos a tratar o risco do Cross-site scripting, quando falamos sobre este risco, ele está na categoria injection, assim como SQL injection, e outros tipos de vulnerabilidades. A partir de uma injeção de conteúdo malicioso você explora a vulnerabilidade, ficando então, a categorização muito mais interessante.
Os 10 principais riscos do OWASP
No OWASP estamos falando dos 10 principais riscos, mas de onde surgem esses riscos e como são classificados?
Basicamente é feito uma coleta dessas informações de diversas fontes, empresas, fabricantes, iniciativas privadas e Open Source. E é a partir dessa consolidação que conseguimos priorizar as 10 principais.
Mas por que priorizar? Ao invés de estudar todos os riscos possíveis e precisar lidar com todas as categorias de riscos e vulnerabilidades, o que seria muito mais complexo, o OWASP vem para facilitar nos entregando essa lista dos principais riscos. Assim como acontece no modelo de Stride da Microsoft, onde são 6 ameaças consolidadas para facilitar o consumo e estrutura, e principalmente para quem não é especialista.
O mal uso dessas práticas
Em discussões recentes, levantou-se o mal uso dessas práticas, o que sim, acontece. Como se fosse apenas chegar a um programador e pedir uma aplicação sem as vulnerabilidades classificadas pelo OWASP, sendo impossível.
Existem muitas vulnerabilidades e categorias que podem ser incluídas dentro dessa taxonomia do OWASP. Seria muito mais efetivo passar o Proactive Controls ou até mesmo os requisitos da ASVS para este programador lidar com o problema de maneira pontual e especializada.
Outro mal uso seria tentar associar o Top 10 a qualquer tipo de certificação ou de acreditação, sendo que o OWASP não é um padrão para você validar a segurança de um produto. Então como seria a forma ideal de usar o OWASP? Simples, da maneira que foi proposto. Conheça os principais riscos e direcione o seu time para lidar com o mínimo necessário, ou seja, um baseline.
Inclusão do novo item relacionado a Secure by Design
Outro ponto interessante que o OWASP Top 10 2021 trouxe foi a inclusão de um novo item relacionado a fragilidade no design. Ou seja, muitas aplicações possuem problemas de arquitetura dentro da maneira em que elas foram concebidas. Então, este item fará com que os desenvolvedores comecem a se atentar mais para o Secure by Design.
Secure by Design é sobre construir aplicações seguras, onde é o real objetivo de AppSec. Falamos muito sobre encontrar vulnerabilidades, fazer testes, validar segurança, etc. Porém, AppSec também é construir aplicações seguras e não só verificar se elas estão seguras depois de já serem construídas.
Esse item irá possibilitar que trabalhemos melhor o Secure By Design, então será imprescindível a realização de modelagem de ameaças para identificar quais são as fragilidades, quais são os potenciais riscos associados ao que estamos desenvolvendo e a partir desta análise conseguiremos definir requisitos para que o time consiga construir aplicações mais seguras.
Não deixe de conferir o vídeo em que o CEO da Conviso, Wagner Elias, aborda a Owasp Top 10 2021 e onde ele fala sobre a inclusão do novo item relacionado a Secure by Design:
