Escolar Documentos
Profissional Documentos
Cultura Documentos
Notas
Verso PT-BR
Participantes
Participaram da traduo os lderes do Projeto OWASP em Lngua Portuguesa: Carlos Serro (Portugal) Marcio Machry (Brasil) E os seguintes voluntrios: caro Evangelista Torres Carlo Marcelo Revoredo da Silva Luiz Vieira Suely Ramalho de Mello Jorge Olmpia Daniel Quinto Mauro Risonho de Paula Assumpo Marcelo Lopes Caio Dias Rodrigo Gularte
Esta verso do OWASP Top 10 foi desenvolvida como parte integrante da atividade conjunta dos captulos brasileiro e portugus da OWASP, em prol da comunidade de programadores e da segurana das aplicaes desenvolvidas nos pases de lngua portuguesa. Este documento baseado na verso OWASP Top 10 de 2013 e a traduo pretende ser fiel ao texto original. O Projeto OWASP em Lngua Portuguesa pode ser acessado em:
https://www.owasp.org/index.php/OWASP_Portug uese_Language_Project
Para saber mais sobre os eventos e atividades desenvolvidas pelos captulos brasileiro e portugus da OWASP, acesse as pginas:
- https://www.owasp.org/index.php/Brazilian - https://www.owasp.org/index.php/Portuguese
O
Prefcio
Sobre a OWASP
Sobre a OWASP
Open Web Application Security Project (OWASP) uma comunidade aberta, dedicada a capacitar as organizaes a desenvolver, adquirir e manter aplicaes confiveis. No OWASP se pode encontrar, grtis e de forma aberta... Normas e ferramentas de segurana em aplicaes Livros completos sobre testes de segurana, desenvolvimento de cdigo seguro e reviso de segurana de cdigo Normas e bibliotecas de controles de segurana Captulos locais do OWASP pelo mundo Pesquisas ltima gerao Conferncias do OWASP pelo mundo Listas de discusso. Saiba mais em: https://www.owasp.org Todos as ferramentas, documentos, fruns e captulos do OWASP so grtis e abertos a todos os interessados em aperfeioar a segurana em aplicaes. Promovemos a abordagem da segurana em aplicaes como um problema de pessoas, processos e tecnologia, porque as abordagens mais eficazes em segurana de aplicaes requerem melhorias nestas reas. A OWASP um novo tipo de organizao. O fato de ser livre de presses comerciais permite fornecer informao de segurana de aplicaes imparcial, prtica e de custo eficiente. A OWASP no filiada a nenhuma empresa de tecnologia, apesar de apoiar o uso de tecnologia de segurana comercial. Da mesma forma que muitos projetos de software de cdigo aberto, a OWASP produz vrios tipos de materiais de maneira colaborativa e aberta. A Fundao OWASP uma entidade sem fins lucrativos que garante o sucesso do projeto a longo prazo. Quase todos os associados OWASP so voluntrios, incluindo a Direo da OWASP, os Comits Globais, os Lderes dos Captulos, os Lderes de Projetos e os membros dos projetos. Apoiamos a pesquisa inovadora em segurana atravs de bolsas e infraestrutura. Junte-se a ns!
O software inseguro est debilitando nossa infraestrutura financeira, de sade, de defesa, de energia e outras infraestruturas crticas. medida que nossa infraestrutura digital fica cada vez mais complexa e interligada, a dificuldade em obter segurana em aplicaes aumenta exponencialmente. No podemos mais tolerar os problemas de segurana relativamente simples, como os apresentados nesta edio do OWASP Top 10. O Top 10 tem como objetivo a sensibilizao sobre segurana em aplicaes atravs da identificao de alguns dos riscos mais crticos enfrentados pelas organizaes. O projeto Top 10 referenciado por muitas normas, livros, ferramentas e organizaes, incluindo MITRE, PCI DSS, DISA, FTC, e muitas outras. Esta verso do projeto Top 10 marca o dcimo aniversrio dessa sensibilizao. O OWASP Top 10 foi lanado inicialmente em 2003, tendo pequenas atualizaes em 2004 e em 2007. A verso de 2010 foi reformulada para priorizar por risco, no somente por prevalncia. A verso 2013 segue essa mesma abordagem. A OWASP encoraja a utilizao do Top 10 para que as organizaes comecem com segurana em suas aplicaes. Os desenvolvedores podem aprender com os erros de outras organizaes. Os executivos devem comear a pensar em como gerenciar o risco que as aplicaes de software criam em suas empresas. A longo prazo, encorajamos a criao de um programa de segurana em aplicaes compatvel com a cultura e tecnologia da organizao. Estes programas podem existir em qualquer tamanho e forma, e deve-se evitar seguir apenas o que um determinado modelo prescreve. Ao invs disso, deve-se aproveitar os pontos fortes da organizao para quantificar e determinar o que funciona para a mesma. Desejamos que o OWASP Top 10 seja til em seus esforos de segurana em aplicaes. No deixe de contatar a OWASP com suas perguntas, comentrios e outras ideias, seja publicamente na owasp-topten@lists.owasp.org ou de forma privada para dave.wichers@owasp.org.
Copyright e Licena
Copyright 2003 2013 The OWASP Foundation Este documento publicado sob a licena Creative Commons Attribution ShareAlike 3.0. Para qualquer tipo de reutilizao ou distribuio, os termos deste trabalho devero ser informados.
I
Bem-vindo
Introduo
Bem-vindo ao OWASP Top 10 2013! Esta atualizao amplia uma das categorias da verso 2010 para ser mais abrangente, incluindo vulnerabilidades importantes, comuns, e reordena outras com base na mudana de dados de prevalncia. Ele tambm traz a segurana de componentes para o centro das atenes criando uma categoria especfica para este risco, tirando-o da obscuridade das letras midas do risco A6 de 2010: Configurao Incorreta de Segurana. O OWASP Top 10 para 2013 baseado em 8 conjuntos de dados de 7 empresas que se especializam em segurana de aplicaes, incluindo 4 consultorias and 3 fornecedores de ferramenta/Software as a Service (1 esttica, 1 dinmica, and 1 com ambas) . Estes dados abrangem mais de 500.000 vulnerabilidades em centenas de organizaes e milhares de aplicaes. Os itens Top 10 so selcionados e priorizados de acordo com dados de prevalncia, em combinao com estimativas do consenso da explorao, deteco e impacto. O objetivo principal do OWASP Top 10 educar desenvolvedores, projetistas, arquitetos, gestores e organizaes sobre as consequncias das mais importantes vulnerabilidades de segurana de aplicaes web. O Top 10 fornece tcnicas bsicas para se proteger contra essas reas problemticas de alto risco e tambm fornece orientao sobre onde ir a partir daqui.
Avisos
No pare nos 10. Existem centenas de problemas que podem afetar a segurana geral de uma aplicao web como discutido no Guia do Desenvolvedor OWASP e na Srie de Dicas OWASP. Estas so leituras essenciais para o desenvolvimento de aplicaes web. Orientao sobre como encontrar, de forma efetiva, vulnerabilidades em aplicaes web fornecida no Guia de Testes OWASP e no Guia de Reviso de Cdigo OWASP. Mudana constante. Este Top 10 continuar sendo alterado. Mesmo sem alterar uma linha de cdigo da sua aplicao, ela poder ficar vulnervel a novas falhas que so descobertas e mtodos de ataque que so refinados. Por favor, revise a orientao no final deste documento em Prximos Passos para Desenvolvedores, Verificadores e Organizaes para maiores informaes. Pense positivo. Quando voc estiver pronto para parar de procurar vulnerabilidades e focar no estabelecimento de fortes controles de segurana nas suas aplicaes, OWASP produziu o Padro de Verificao de Segurana em Applicaes (ASVS) como um guia de verificao para as organizaes. Use ferramentas de forma inteligente. Vulnerabilidades de segurana podem ser bastante complexas e enterradas em montanhas de cdigo. Em muitos casos, a abordagem com melhor custo-benefcio para encontrar e eliminar estas vulnerabilidades envolver especialistas armados com boas ferramentas. Mude de rumo. Concentre-se em tornar a segurana parte integral da cultura de desenvolvimento da organizao. Encontre mais no Modelo Aberto de Maturidade e Garantia do Software (SAMM) and the Rugged Handbook.
Agradecimentos
Obrigado Aspect Security por iniciar, liderar e atualizar o OWASP Top 10 desde sua concepo em 2003, e a seus autores principais: Jeff Williams and Dave Wichers.
Gostaramos de agradecer s organizaes que contriburam com seus dados de prevalncia para esta atualizao de 2013: Aspect Security Estatsticas HP Estatsticas from both Fortify and WebInspect Minded Security Estatsticas Softtek Estatsticas Trustwave, SpiderLabs Estatsticas (See page 50) Veracode Estatsticas WhiteHat Security Inc. Estatsticas
Ns gostaramos de agradecer todos que contriburam com as verses anteriores do Top 10. Sem estas contribuies, ele no seria o que hoje. Tambm agradecemos aqueles que contriburam com comentrios e tempo revisando esta atualizao: Adam Baso (Wikimedia Foundation) Mike Boberski (Booz Allen Hamilton) Torsten Gigler Neil Smithline (MorphoTrust USA) Pela produo da verso wiki do Top 10, e fornecendo feedback E finalmente, agradecemos antecipadamente todos os tradutores que iro traduzir esta verso do Top 10 em inmeras linguagens diferentes, ajudando a torn-lo mais acessvel no planeta inteiro.
NV
1)
Notas da Verso
2)
3)
Agrupamos e ampliamos 2010-A7 e 2010-A9 para CRIAR: 2013-A6:Exposio de Dados Sensveis: Esta uma nova categoria criada com o agrupamento do 2010-A7 - Armazenamento Criptogrfico Inseguro e 2010-A9 - Proteo Insuficiente no Nvel de Transporte, alm de adicionar riscos aos dados sensveis inseridos via navegador. Esta nova categoria abrange proteo a dados sensveis (exceto controle de acesso que coberto pelos 2013-A4 e 2013-A7) a partir do momento que esses dados so fornecidos pelo usurio, enviados e armazenados pela aplicao, e em seguida enviados novamente ao navegador.
5)
Adicionamos: 2013-A9: Utilizao de Componentes Vulnerveis Conhecidos + Este assunto foi mencionado como parte do 2010-A6 - Configurao Incorreta de Segurana, mas agora possui uma categoria prpria devido ao crescimento do desenvolvimento baseado em componentes, o que aumentou significativamente o risco de utilizao de componentes vulnerveis conhecidos.
Risco
Threat Agents
s vezes, esses caminhos so triviais para encontrar e explorar, e em outras, so extremamente difceis. Da mesma forma, o dano causado pode ter nenhuma consequncia, ou pode acabar com o seu negcio. Para determinar o risco para a sua organizao, voc pode avaliar a probabilidade associada a cada agente de ameaa, vetor de ataque, vulnerabilidade de segurana e combinla com uma estimativa dos impactos tcnico e no negcio da sua empresa. Juntos, esses fatores determinam o risco total.
Referncias
OWASP
OWASP Risk Rating Methodology Article on Threat/Risk Modeling
External
FAIR Information Risk Framework Microsoft Threat Modeling (STRIDE and DREAD)
Especfico da Aplicao
Somente voc sabe os detalhes do seu ambiente e negcio. Para qualquer aplicao, pode no haver um agente de ameaa que possa executar um ataque relevante, ou o impacto tcnico pode no fazer nenhuma diferena para o seu negcio. Portanto, voc deve avaliar cada risco, focando nos agentes de ameaa, controles de segurana e impactos no negcio de sua empresa. Ns listamos Agentes de Ameaa como Especficos da Aplicao, e Impactos no Negcio como Especficos do Negcio/Aplicao para indicar que estes so claramente dependentes dos detalhes sobre a sua aplicao em sua empresa. Os nomes dos riscos no Top 10 derivam-se do tipo de ataque, do tipo de vulnerabilidade, ou do tipo de impacto causado. Escolhemos nomes que refletem com preciso os riscos e, quando possvel, alinham-se com a terminologia mais provvel para auxiliar na conscientizao das pessoas.
T10
A1 Injeo
As funes da aplicao relacionadas com autenticao e gerenciamento de sesso geralmente so implementadas de forma incorreta, permitindo que os atacantes comprometam senhas, chaves e tokens de sesso ou, ainda, explorem outra falha da implementao para assumir a identidade de outros usurios.
Falhas XSS ocorrem sempre que uma aplicao recebe dados no confiveis e os envia ao navegador sem validao ou filtro adequados. XSS permite aos atacantes executarem scripts no navegador da vtima que podem sequestrar sesses do usurio, desfigurar sites, ou redirecionar o usurio para sites maliciosos.
Uma referncia insegura e direta a um objeto ocorre quando um programador expe uma referncia implementao interna de um objeto, como um arquivo, diretrio, ou registro da base de dados. Sem a verificao do controle de acesso ou outra proteo, os atacantes podem manipular estas referncias para acessar dados no-autorizados.
Uma boa segurana exige a definio de uma configurao segura e implementada na aplicao, frameworks, servidor de aplicao, servidor web, banco de dados e plataforma. Todas essas configuraes devem ser definidas, implementadas e mantidas, j que geralmente a configurao padro insegura. Adicionalmente, o software deve ser mantido atualizado. Muitas aplicaes web no protegem devidamente os dados sensveis, tais como cartes de crdito, IDs fiscais e credenciais de autenticao. Os atacantes podem roubar ou modificar esses dados desprotegidos com o propsito de realizar fraudes de cartes de crdito, roubo de identidade, ou outros crimes. Os dados sensveis merecem proteo extra como criptografia no armazenamento ou em trnsito, bem como precaues especiais quando trafegadas pelo navegador. A maioria das aplicaes web verificam os direitos de acesso em nvel de funo antes de tornar essa funcionalidade visvel na interface do usurio. No entanto, as aplicaes precisam executar as mesmas verificaes de controle de acesso no servidor quando cada funo invocada. Se estas requisies no forem verificadas, os atacantes sero capazes de forjar as requisies, com o propsito de acessar a funcionalidade sem autorizao adequada. Um ataque CSRF fora a vtima que possui uma sesso ativa em um navegador a enviar uma requisio HTTP forjada, incluindo o cookie da sesso da vtima e qualquer outra informao de autenticao includa na sesso, a uma aplicao web vulnervel. Esta falha permite ao atacante forar o navegador da vtima a criar requisies que a aplicao vulnervel aceite como requisies legtimas realizadas pela vtima. Componentes, tais como bibliotecas, frameworks, e outros mdulos de software quase sempre so executados com privilgios elevados. Se um componente vulnervel explorado, um ataque pode causar srias perdas de dados ou o comprometimento do servidor. As aplicaes que utilizam componentes com vulnerabilidades conhecidas podem minar as suas defesas e permitir uma gama de possveis ataques e impactos. Aplicaes web frequentemente redirecionam e encaminham usurios para outras pginas e sites, e usam dados no confiveis para determinar as pginas de destino. Sem uma validao adequada, os atacantes podem redirecionar as vtimas para sites de phishing ou malware, ou usar encaminhamentos para acessar pginas no autorizadas.
A6 Exposio de Dados Sensveis A7 Falta de Funo para Controle do Nvel de Acesso A8 Cross-Site Request Forgery (CSRF) A9 Utilizao de Componentes Vulnerveis Conhecidos A10 Redirecionamentos e Encaminhamentos Invlidos
A1
Agentes de Ameaa
Injeo
Vetores de Ataque Vulnerabilidades de Segurana Impactos Tcnicos Impactos no Negcio
Especfico da Aplicao
Considere algum que possa enviar dados noconfiveis para o sistema, incluindo usurios externos, usurios internos, e administradores.
Explorao FCIL
Atacante envia ataques simples baseados em texto que exploram a sintaxe do interpretador alvo. Praticamente qualquer fonte de dados pode ser um vetor de injeo, incluindo fontes internas.
Prevalncia COMUM
Deteco MDIA
Impacto SEVERO
Injeo pode resultar em perda ou corrupo de dados, falta de responsabilizao, ou negao de acesso. Algumas vezes, a injeo pode levar ao comprometimento completo do servidor.
Falhas de injeo ocorrem quando uma aplicao envia dados no-confiveis para um interpretador. Falhas de injeo esto muito predominantes, particularmente em cdigos legados. Elas geralmente so encontradas em consultas SQL, LDAP, Xpath ou NoSQL; comandos do SO; analisadores XML; cabealhos SMTP; argumentos do programa, etc. Falhas de injeo so fceis de descobrir ao examinar o cdigo, mas frequentemente difceis de descobrir atravs de testes. Escaneadores e fuzzers podem ajudar atacantes a encontrar falhas de injeo.
Estou vulnervel?
A melhor forma para descobrir se uma aplicao est vulnervel injeo verificar se todos os usos dos interpretadores separam claramente os dados no-confiveis do comando ou consulta. Para chamadas SQL, isso significa utilizar variveis de ligao em todas as instrues preparadas e procedimentos armazenados, e evitar consultas dinmicas. Verificar o cdigo uma forma rpida e precisa de identificar se a aplicao utiliza os interpretadores seguramente. Ferramentas de anlise de cdigo podem ajudar o analista de segurana a encontrar o uso dos interpretadores e traar o fluxo de dados atravs da aplicao. Testes de invaso podem validar estas questes atravs da elaborao de exploits que confirmam a vulnerabilidade. Varredura dinmica automatizada que exercite a aplicao pode fornecer uma viso caso exista alguma falha explorvel de injeo. Escaneadores nem sempre podem alcanar os interpretadores e tem dificuldade em detectar se um ataque foi bem sucedido. Tratamento de erros fraco torna as falhas de injeo fceis de descobrir.
2.
3.
Referncias
OWASP
OWASP SQL Injection Prevention Cheat Sheet OWASP Query Parameterization Cheat Sheet
Externas
CWE Entry 77 on Command Injection CWE Entry 89 on SQL Injection CWE Entry 564 on Hibernate Injection
A2
Agentes de Ameaa
Especfico da Aplicao
Considere atacantes externos annimos, ou mesmo usurios autenticados, que podem tentar roubar contas de outros usurios. Considere tambm usurios internos que desejam disfarar suas aes.
Explorao MDIA
Atacante usa vazamentos ou falhas nas funes de autenticao ou gerenciamento de sesso (por exemplo, contas expostas, senhas, IDs de sesso) para assumir a identidade de outro usurio.
Prevalncia GENERALIZADA
Deteco MDIA
Impacto SEVERO
Tais falhas podem permitir que algumas ou mesmo todas as contas sejam atacadas. Uma vez bem sucedido, o atacante pode fazer qualquer coisa que a vtima faria. Contas privilegiadas so alvos frequentes.
Os desenvolvedores frequentemente implementam a autenticao e gerenciamento de sesso em suas aplicaes de forma personalizada, mas a implementao correta difcil. Como resultado, esses esquemas personalizados frequentemente possuem falhas em reas do sistema como logout, gesto de senhas, tempo de expirao, "lembrar senha", pergunta secreta, atualizar conta, etc. Algumas vezes, encontrar essas falhas pode ser difcil j que cada implementao nica.
Estou vulnervel?
Os ativos de gerenciamento de sesso, como credenciais do usurio e IDs de sesso, so protegidos adequadamente? Voc pode estar vulnervel se: 1. As credenciais de autenticao de usurio no esto protegidas utilizando hash ou criptografia, quando armazenadas. Ver A6. 2. As credenciais podem ser descobertas atravs de fracas funes de gerenciamento de contas (por exemplo, criao de conta, alterao de senha, recuperao de senha, IDs de sesso fracos). 3. IDs de sesso so expostos na URL (por exemplo, reescrita de URL). 4. IDs de sesso so vulnerveis a ataques de fixao de sesso. 5. IDs de sesso no expiram, ou sesses de usurio ou tokens de autenticao, particularmente aqueles baseados em single sign-on (SSO), e no so devidamente invalidados durante o logout. 6. IDs de sesso no so rotacionados aps o login bem-sucedido. 7. Senhas, IDs de sesso, e outras credenciais so enviadas atravs de conexes no criptografadas. Ver A6. Veja as reas de exigncia V2 e V3 do ASVS para mais detalhes.
b)
2.
Grandes esforos tambm deve ser feitos para evitar falhas de XSS que podem ser utilizados para roubar os IDs de sesso. Ver A3.
Referncias
OWASP
Para um conjunto mais completo de requisitos e problemas a evitar nesta rea, consulte as reas de requisitos ASVS para autenticao (V2) e gerenciamento de sesso (V3). OWASP Authentication Cheat Sheet OWASP Forgot Password Cheat Sheet OWASP Session Management Cheat Sheet OWASP Development Guide: Chapter on Authentication OWASP Testing Guide: Chapter on Authentication
Externas
CWE Entry 287 on Improper Authentication CWE Entry 384 on Session Fixation
A3
Agentes de Ameaa
Especfico da Aplicao
Considere algum que possa enviar dados noconfiveis para o sistema, incluindo usurios externos, usurios internos, e administradores.
Explorao MDIA
Os atacantes enviam ataques de script baseado em texto que exploram o interpretador no navegador. Quase qualquer fonte de dados pode ser um vetor de ataque, incluindo fontes internas como dados do banco de dados.
Deteco FCIL
Impacto MODERADO
Atacantes podem executar scripts no navegador da vtima para sequestrar sesses do usurio, desfigurar web sites, inserir contedo hostil, redirecionar usurios, seqestrar o navegador usando malware, etc.
XSS a mais predominante falha de segurana em aplicaes web. As falhas de XSS ocorrem quando uma aplicao inclui os dados fornecidos pelo usurio na pgina, enviados ao navegador, sem a validao ou filtro apropriados desse contedo. Existem trs tipos conhecidos de falhas XSS: 1) Persistente, 2) Refletido, e 3) XSS baseado em DOM. A deteco da maioria das falhas XSS bastante fcil via testes ou anlise de cdigo.
Estou vulnervel?
Voc est vulnervel se no garantir que todas as entradas fornecidas pelos usurios sejam apropriadamente filtradas, ou voc no verifica que elas sejam seguras via validao de entrada, antes de incluir essa entrada na pgina de sada. Sem o adequado filtro ou validao da sada, tal entrada ser tratada como contedo ativo no navegador. Se o Ajax est sendo usado para atualizar a pgina dinamicamente, voc est usando APIS seguras do JavaScript? Para APIS inseguras, codificao ou validao tambm devem ser usadas. Ferramentas automatizadas podem encontrar alguns problemas de XSS automaticamente. Porm, cada aplicao constri pginas de sada diferentemente e utiliza diferentes interpretadores no lado do navegador como JavaScript, ActiveX, Flash, e Silverlight, criando dificuldades para a deteco automtica. Portanto, uma cobertura completa exige uma combinao de reviso manual de cdigo e teste de invaso, alm das abordagens automatizadas. Tecnologias Web 2.0, como Ajax, tornam o XSS muito mais difcil de detectar via ferramentas automatizadas.
Referncias
OWASP
OWASP XSS Prevention Cheat Sheet OWASP DOM based XSS Prevention Cheat Sheet OWASP Cross-Site Scripting Article ESAPI Encoder API ASVS: Output Encoding/Escaping Requirements (V6) OWASP AntiSamy: Sanitization Library
Externas
CWE Entry 79 on Cross-Site Scripting
A4
Agentes de Ameaa
Especfico da Aplicao
Considere o tipo dos usurios do seu sistema. Qualquer usurio tem somente acesso parcial a determinados tipos de dados do sistema?
Explorao FCIL
O atacante, que um usurio autorizado do sistema, simplesmente muda o valor de um parmetro que se refere diretamente a um objeto do sistema por outro objeto que o usurio no est autorizado. O acesso concedido?
Prevalncia COMUM
Deteco FCIL
Impacto MODERADO
Tais falhas podem comprometer todos os dados que podem ser referenciados pelo parmetro. A menos que as referncias a objetos sejam imprevisveis, fcil para um atacante acessar todos os dados disponveis desse tipo.
Aplicaes freqentemente usam o nome real ou a chave de um objeto ao gerar pginas web. Aplicaes nem sempre verificam se o usurio autorizado para o objeto alvo. Isto resulta numa falha de referncia insegura e direta a um objeto. Testadores podem facilmente manipular valores de parmetros para detectar tal falha. Anlise de cdigo rapidamente mostra se a autorizao verificada de forma adequada.
Estou vulnervel?
A melhor forma de saber se uma aplicao vulnervel a referncia insegura e direta a objeto verificar se todos os objetos referenciados possuem defesas apropriadas. Para atingir esse objetivo, considere: 1. Para referncias diretas a recursos restritos, a aplicao falha em verificar se o usurio est autorizado a acessar o exato recurso que ele requisitou? Se a referncia uma referncia indireta, o mapeamento para a referncia direta falha ao limitar os valores para aqueles autorizados para o usurio atual?
2.
Reviso de cdigo da aplicao pode rapidamente verificar se qualquer abordagem implementada com segurana. Teste tambm efetivo para identificar referncias diretas a objetos e se elas so seguras. Ferramentas automatizadas normalmente no procuram por essa falha, porque elas no podem reconhecer o que requer proteo ou o que seguro ou inseguro.
2.
Referncias
OWASP
OWASP Top 10-2007 on Insecure Dir Object References ESAPI Access Reference Map API ESAPI Access Control API (See isAuthorizedForData(),
isAuthorizedForFile(), isAuthorizedForFunction() )
Para requisitos adicionais de acesso de controle, veja o ASVS requirements area for Access Control (V4).
Externas
CWE Entry 639 on Insecure Direct Object References CWE Entry 22 on Path Traversal (um exemplo de um ataque de
Referncia Direta a Objeto)
A5
Agentes de Ameaa
Especfico da Aplicao
Considere atacantes externos annimos, bem como usurios com suas prprias contas que podem tentar comprometer o sistema. Considere tambm algum internamente querendo disfarar suas aes.
Explorao FCIL
Atacante acessa contas padro, pginas no utilizadas, falhas no corrigidas, arquivos e diretrios desprotegidos, etc, para obter acesso no autorizado ou conhecimento do sistema.
Prevalncia COMUM
Deteco FCIL
Impacto MODERADO
Tais falhas frequentemente permitem aos atacantes acesso no autorizado a alguns dados ou funcionalidade do sistema. Ocasionalmente, resultam no comprometimento completo do sistema.
Configuraes incorretas podem acontecer em qualquer nvel da pilha da aplicao, incluindo a plataforma, servidor web, servidor de aplicao, banco de dados, framework e cdigo personalizado. Desenvolvedores e administradores de sistemas precisam trabalhar juntos para garantir que toda a pilha esteja configurada corretamente. Scanners automatizados so teis para detectar falta de atualizaes, erros de configurao, uso de contas padro, servios desnecessrios, etc.
Estou vulnervel?
Est faltando a adequada proteo da segurana em qualquer parte da pilha de aplicao? Incluindo: 1. Algum software est desatualizado? Isto inclui o SO, servidor web/aplicao, SGBD, aplicaes, e todas as bibliotecas de cdigo (ver novo A9). 2. Existem recursos desnecessrios ativados ou instalados (por exemplo, portas, servios, pginas, contas, privilgios)? 3. Contas padro e suas senhas ainda esto habilitadas e no foram alteradas? 4. Ser que o tratamento de erros revelam rastreamentos de pilha ou outras mensagens de erro excessivamente informativas para os usurios? 5. As configuraes de segurana em seus frameworks de desenvolvimento (por exemplo, Struts, Spring, ASP.NET) e bibliotecas esto definidas para proteger os valores? Sem um processo recorrente de configurao de segurana, seus sistemas esto expostos a um risco mais elevado.
Referncias
OWASP
OWASP Development Guide: Chapter on Configuration OWASP Code Review Guide: Chapter on Error Handling OWASP Testing Guide: Configuration Management OWASP Testing Guide: Testing for Error Codes OWASP Top 10 2004 - Insecure Configuration Management Para requisitos adicionais nesta rea, veja ASVS requirements area for Security Configuration (V12).
Externas
PC Magazine Article on Web Server Hardening CWE Entry 2 on Environmental Security Flaws CIS Security Configuration Guides/Benchmarks
A6
Agentes de Ameaa
Especfico da Aplicao
Considere quem pode ter acesso aos seus dados sensveis e backups desses dados. Incluindo os dados em repouso, em trfego, e at mesmo nos navegadores de seus clientes. Inclua tanto ameaas externas como internas.
Explorao DIFCIL
Os atacantes normalmente no quebram diretamente a criptografia. Eles exploram de outra forma, como roubar chaves, aplicar ataques do tipo man-in-the-middle, ou roubar dados em texto claro fora do servidor, enquanto transitam, ou a partir do navegador do usurio.
Prevalncia RARA
Deteco MDIA
Impacto SEVERO
A falha frequentemente compromete todos os dados que deveriam ter sido protegidos. Normalmente, essas informaes incluem dados sensveis tais como registros mdicos, credenciais de acesso, dados pessoais, cartes de crdito, etc.
A falha mais comum simplesmente no criptografar dados sensveis. Quando a criptografia utilizada, a gerao e gerenciamento de chaves fraca, alm da utilizao de algoritmos e tcnicas de hashing fracos. Vulnerabilidades no navegador so comuns e fcil de detectar, mas so difceis de explorar em larga escala. Atacantes externos tem dificuldade em detectar falhas no lado do servidor, devido ao acesso limitado e tambm so geralmente mais difceis de explorar.
Estou vulnervel?
A primeira coisa que voc deve determinar quais dados so sensveis o suficiente para exigir proteo extra. Por exemplo, senhas, nmeros de carto de crdito, registros mdicos e informaes pessoais devem ser protegidas. Para todos esses dados: 1. 2. 3. 4. 5. Qualquer um desses dados armazenado em texto claro a longo prazo, incluindo backups de dados? Qualquer um desses dados transmitido em texto claro, internamente ou externamente? O trfego de internet especialmente perigoso. Algum algoritmo de criptografia utilizado fraco ou defasado? As chaves criptogrficas geradas so fracas, ou elas possuem um gerenciamento ou rodzio de forma adequada? Algumas diretivas de segurana do navegador ou cabealhos esto ausentes quando os dados sensveis so fornecidos/enviados ao navegador?
Para um conjunto mais completo de problemas a serem evitados, consulte reas do ASVS de Criptografia (V7), Proteo de dados (V9), e SSL (V10).
Referncias
OWASP - Para um conjunto mais completo de requisitos, consulte
Requisitos do ASVS na Criptografia (V7), Proteo de Dados (V9) e Segurana das Comunicaes (V10) OWASP Cryptographic Storage Cheat Sheet OWASP Password Storage Cheat Sheet OWASP Transport Layer Protection Cheat Sheet OWASP Testing Guide: Chapter on SSL/TLS Testing Externas CWE Entry 310 on Cryptographic Issues CWE Entry 312 on Cleartext Storage of Sensitive Information CWE Entry 319 on Cleartext Transmission of Sensitive Information CWE Entry 326 on Weak Encryption
A7
Agentes de Ameaa
Especfico da Aplicao
Qualquer um com acesso rede pode enviar uma requisio para a sua aplicao. Usurios annimos poderiam acessar funcionalidades privadas ou usurios normais acessarem uma funo privilegiada?
Explorao FCIL
O atacante, que um usurio autorizado no sistema, simplesmente muda a URL ou um parmetro para uma funo privilegiada. O acesso concedido? Usurios annimos podem acessar funes privadas que no so protegidas.
Prevalncia COMUM
Deteco MDIO
Impacto MODERADO
Tais falhas permitem aos atacantes acessarem funcionalidades no autorizadas. Funes administrativas so os principais alvos para esse tipo de ataque.
Aplicaes nem sempre protegem adequadamente as funo de aplicao. s vezes, a proteo em nvel de funo gerenciada via configurao, e o sistema mal configurado. s vezes, desenvolvedores devem incluir verificaes de cdigo adequadas, e eles esquecem. A deteco de tais falhas fcil. A parte mais difcil identificar em quais pginas (URLs) ou funes existem para atacar.
Estou Vulnervel?
A melhor maneira para descobrir se uma aplicao falha em restringir adequadamente o acesso em nvel de funo verificar todas as funes da aplicao: 1. 2. 3. A UI mostra a navegao para as funes no autorizadas? No lado do servidor falta verificao de autenticao ou autorizao? No lado do servidor as verificaes feitas dependem apenas de informaes providas pelo atacante?
Utilizando um proxy, navegue sua aplicao com um papel privilegiado. Ento revisite pginas restritas utilizando um papel menos privilegiado. Se as respostas do servidor so iguais, voc provavelmente est vulnervel. Alguns testes de proxies suportam diretamente esse tipo de anlise. Voc pode tambm verificar a implementao do controle de acesso no cdigo. Tente seguir uma nica requisio privilegiada atravs do cdigo e verifique o padro de autorizao. Ento pesquise o cdigo base para encontrar onde o padro no est sendo seguido. Ferramentas automatizadas so improvveis de encontrar esses problemas.
3.
NOTA: Muitas das aplicaes web no mostram links e botes para funes no autorizadas, mas esse "controle de acesso na camada de apresentao" na verdade no fornece proteo. Voc tambm deve implementar verificaes na lgica do controlador ou do negcio.
Referncias
OWASP
OWASP Top 10-2007 on Failure to Restrict URL Access
Externas
CWE Entry 285 on Improper Access Control (Authorization)
A8
Agentes de Ameaa
Especfico da Aplicao
Considere qualquer pessoa que possa carregar contedo nos navegadores dos usurios, e assim for-los a fazer uma requisio para seu site. Qualquer site ou outro servio html que usurios acessam pode fazer isso.
Explorao MDIO
O atacante forja requisies HTTP falsas e engana uma vitima submetendo-a a um ataque atravs de tags de imagem, XSS, ou inmeras outras tcnicas. Se o usurio estiver autenticado, o ataque bem sucedido.
Prevalncia COMUM
Deteco FCIL
Impacto MODERADO
Os atacantes podem enganar suas fazendo com que executem operaes de mudana de estado que a vtima est autorizada a realizar, por ex., atualizando detalhes da sua conta, comprando, deslogando ou at mesmo efetuando login.
O CSRF se aproveita do fato de que a maioria das aplicaes web permitem que os atacantes prevejam todos os detalhes de uma ao particular da aplicao. Como os navegadores automaticamente trafegam credenciais como cookies de sesso, os atacantes podem criar pginas web maliciosas que geram requisies forjadas indistinguveis das legtimas. Deteco de falhas de CSRF bastante simples atravs de testes de penetrao ou de anlise de cdigo.
Estou vulnervel?
Para verificar se uma aplicao vulnervel, verifique se quaisquer links e formulrios no possuam um token imprevisvel de CSRF. Sem um token, os atacantes podem forjar requisies maliciosas. Uma alternativa de defesa solicitar que o usurio prove a inteno de submeter a requisio, seja atravs de uma autenticao, ou alguma outra prova de que um usurio real (por exemplo, um CAPTCHA). Concentre-se nos links e formulrios que invocam funes de mudana de estado, uma vez que esses so os alvos mais importantes de um CSRF. Voc deve verificar as transaes em vrias etapas, j que elas no so inerentemente imunes. Os atacantes podem facilmente forjar uma srie de requisies usando mltiplas tags ou possivelmente Java Script. Note que os cookies de sesso, endereos IP de origem, e outras informaes que so enviadas automaticamente pelo navegador no fornecem nenhuma defesa contra CSRF uma vez que elas tambm so includas nas requisies forjadas. A ferramenta de teste do OWASP CSRF Tester pode auxiliar com gerao de casos de teste para demonstrar os perigos das falhas de CSRF.
2.
O CSRF Guard do OWASP pode incluir tokens automaticamente em aplicaes Java EE, .NET ou PHP. A ESAPI do OWASP disponibiliza mtodos para desenvolvedores utilizarem na preveno de vulnerabilidades de CSRF. 3. Exigir que o usurio autentique novamente, ou provar que so realmente um usurio (por exemplo, atravs de CAPTCHA) tambm pode proteger contra CSRF.
Referncias
OWASP
OWASP CSRF Article OWASP CSRF Prevention Cheat Sheet OWASP CSRFGuard - CSRF Defense Tool ESAPI Project Home Page ESAPI HTTPUtilities Class with AntiCSRF Tokens OWASP Testing Guide: Chapter on CSRF Testing OWASP CSRFTester - CSRF Testing Tool
Externas
CWE Entry 352 on CSRF
A9
Agentes de Ameaa
Especfico da Aplicao
Alguns componentes vulnerveis (por exemplo, bibliotecas de framework) podem ser identificadas e exploradas com ferramentas automatizadas, expandindo o leque de agentes de ameaa incluindo, alm de atacantes direcionados, atores caticos.
Explorao MDIO
O atacante identifica um componente vulnervel atravs de varredura ou anlise manual. Ele personaliza o exploit conforme necessrio e executa o ataque. Isso se torna mais difcil se o componente usado est mais profundo na aplicao.
Prevalncia GENERALIZADA
Deteco DIFCIL
Impacto MODERADO
A gama completa de vulnerabilidades possvel, incluindo injeo, falha no controle de acesso, XSS, etc. O impacto poderia variar do mnimo ao completo comprometimento do servidor e dos dados.
Virtualmente todas aplicaes possuem estes problemas porque a maioria dos times de desenvolvimento no focam em garantir que seus componentes e/ou bibliotecas estejam atualizados. Em muitos casos, os desenvolvedores sequer conhecem todos os componentes que esto usando, muito menos suas verses. Dependncias de componentes tornam a situao ainda pior.
Estou vulnervel?
Em teoria, deveria ser fcil de descobrir se voc est atualmente utilizando quaisquer componentes ou bibliotecas vulnerveis. Infelizmente, relatrios de vulnerabilidades de software comercial ou livre nem sempre especificam exatamente quais verses de um componente esto vulnerveis de uma forma padro, pesquisvel. Alm disso, nem todas as bibliotecas utilizam um sistema de numerao de verses compreensvel. Pior ainda, nem todas as vulnerabilidades so reportadas para um local central que seja fcil de pesquisar, apesar de sites como CVE e NVD estejam se tornando mais fceis de pesquisar. Determinar se voc est vulnervel requer pesquisar nesses bancos de dados, bem como manter-se a par de listas de e-mails e anncios para qualquer coisa que possa ser uma vulnerabilidade. Se um de seus componentes tiver uma vulnerabilidade, voc deve avaliar cuidadosamente se est realmente vulnervel verificando se seu cdigo utiliza a parte do componente com a vulnerabilidade e se a falha poderia resultar em um impacto que preocupe voc.
3)
4)
Referncias
OWASP
Good Component Practices Project
Externas
The Unfortunate Reality of Insecure Libraries Open Source Software Security Addressing Security Concerns in Open Source Components
Toda aplicao utilizando qualquer dessas bibliotecas vulnerveis est vulnervel a ataques j que ambos componentes so diretamente acessveis por usurios da aplicao. Outras bibliotecas vulnerveis, usadas mais profundamente em uma aplicao, podem ser mais difceis de explorar.
A10
Agentes de Ameaa
Especfico da Aplicao
Considere quem possa enganar seus usurios para que enviem uma solicitao ao seu site. Qualquer site ou feed HTML que seus usurios utilizam poderia fazer isso.
Explorao MDIA
O atacante aponta para um redirecionamento invlido e engana as vtimas para que cliquem nele. As vtimas so mais propensas a clicar, j que o link aponta para um site vlido. O atacante visa um encaminhamento inseguro para evitar verificaes de segurana.
Prevalncia RARA
Deteco FCIL
Impacto MODERADO
Aplicaes frequentemente redirecionam usurios para outras pginas, ou usam encaminhamentos internos de uma maneira similar. Por vezes a pgina de destino especificada atravs de um parmetro que no validado, permitindo que o atacante escolha essa pgina de destino.
Tais redirecionamentos podem tentar instalar malware ou enganar vtimas para que divulguem suas senhas ou outras informaes sensveis. Encaminhamentos Detectar redirecionamentos invlidos fcil. inseguros podem Procure por aqueles onde voc pode definir a permitir contornar os URL completa. Encaminhamen-tos invlidos controles de acesso. so mais difceis, pois eles tm como alvo pginas internas.
Estou vulnervel?
A melhor forma de verificar se uma aplicao possui redirecionamentos ou encaminhamentos no validados :
1. Revise o cdigo de todos os usos de redirecionamentos ou encaminhamentos (chamados de transferncia em .NET). Para cada uso, identifique se a URL de destino est includa em quaisquer valores de parmetro. Caso a URL de destino no seja validada em uma lista branca, voc est vulnervel. Tambm, varra o site para verificar se ele gera algum redirecionamento (cdigos de resposta HTTP 300-307, tipicamente 302). Olhe para os parmetros fornecidos antes do redirecionamento para verificar se eles parecem ser uma URL de destino ou apenas parte dela. Se sim, altere a URL de destino e observe se o site redireciona para o novo destino. Se o cdigo no estiver disponvel, verifica todos os parmetros para identificar se eles parecem ser parte de um redirecionamento ou encaminhamento e teste todos.
2.
3.
Referncias
OWASP
OWASP Article on Open Redirects ESAPI SecurityWrapperResponse sendRedirect() method
Externas
CWE Entry 601 on Open Redirects WASC Article on URL Redirector Abuse Google blog article on the dangers of open redirects OWASP Top 10 for .NET article on Unvalidated Redirects and Forwards
+D
Para desenvolver uma aplicao web segura necessrio definir o que significa segurana para essa aplicao. O OWASP recomenda usar o Padro de Verificao de Segurana de Aplicaes (ASVS) como guia para configurar os requisitos de segurana da(s) sua(s) aplicao(es). Se estiver terceirizando, considerar o Anexo do Contrato de Software Seguro do OWASP.
Ao invs de adicionar segurana a suas aplicaes, muito mais econmico projetar a segurana desde o princpio. O OWASP recomenda O Guia do Desenvolvedor OWASP e as Dicas de Preveno do OWASP como pontos de partida para projetar segurana desde o incio.
Construir controles de segurana fortes e fceis de usar extremamente difcil. Um conjunto de controles de segurana padronizados simplifica radicalmente o desenvolvimento de aplicaes seguras. O OWASP recomenda o Projeto da API de Segurana Empresarial do OWASP (ESAPI) como modelo de API de segurana necessria para produzir aplicaes web seguras. A ESAPI tem implementaes de referncia em Java, .NET, PHP, ASP Clssico, Python, e Cold Fusion.
Para melhorar o processo que a sua organizao segue ao desenvolver aplicaes, o OWASP recomenda o Modelo de Maturidade de Garantia do Software (SAMM). Este modelo ajuda a organizao a formular e implementar estratgias para segurana de software customizadas para os riscos especficos que a organizao enfrenta.
O Projeto de Educao OWASP oferece material de treinamento para ajudar a educar desenvolvedores em segurana de aplicaes web e uma lista extensa de Apresentaes Educacionais do OWASP. Para treinamento prtico sobre vulnerabilidades, use o WebGoat OWASP, WebGoat.NET, ou o Projeto OWASP Broken Web Applications. Para se manter atualizado, participe de uma Conferncia AppSec do OWASP, um Evento de Treinamento OWASP, ou de reunies de um Captulo local do OWASP.
Numerosos recursos adicionais do OWASP esto disponveis. Visite a Pgina de Projetos OWASP, l esto listados todos os projetos OWASP, organizados por tipo de verso dos projetos (Release Quality, Beta, ou Alfa). A maioria dos recursos OWASP est disponvel na pgina de wiki, e muitos documentos do OWASP podem ser solicitados em formato Impresso ou eBook.
+V
Organize-se
Para verificar a segurana da aplicao web que voc desenvolveu, ou de uma aplicao que esteja considerando adquirir, o OWASP recomenda verificar o cdigo fonte da mesma (se disponvel), bem como testar a aplicao. O OWASP recomenda combinar a reviso de segurana do cdigo com o teste de invaso sempre que possvel, pois isto permite aproveitar as vantagens das duas tcnicas, aliado ao fato que as duas se complementam. As ferramentas para ajudar no processo de verificao podem melhorar a eficincia e a eficcia de um analista experiente. As ferramentas de verificao do OWASP so focadas em ajudar o especialista a ser mais eficaz, ao invs de simplesmente automatizar o processo de anlise. Padronizando o Processo de Verificao da Segurana em Aplicaes Web: Para ajudar as organizaes a desenvolver consistncia e um nvel definido de rigor ao avaliar a segurana de aplicaes web, OWASP criou o Padro de Verificao de Segurana de Aplicaes (ASVS). Este documento define um padro mnimo de verificao para testar a segurana de aplicaes web. OWASP recomenda usar o ASVS no apenas para saber o que procurar quando for verificar a segurana da aplicao, mas tambm para saber quais tcnicas so mais apropriadas, e para ajudar a definir e selecionar o nvel de rigor dessa verificao. O OWASP tambm recomenda usar o ASVS para ajudar a definir e selecionar os tipos de servios de verificao de terceiros, se for contratar este servio. Conjunto de Ferramentas de Verificao: O Projeto OWASP Live CD compilou algumas das melhores ferramentas abertas de segurana em um ambiente nico ou em uma mquina virtual (VM). Desenvolvedores web, responsveis pelos testes e profissionais de segurana podem dar partida no seu sistema usando o CD ou executando a mquina virtual para acessar um conjunto completo de testes de segurana. No necessrio instalar ou configurar nada para usar as ferramentas do CD.
Reviso de Cdigo
A reviso do cdigo fonte particularmente til para verificar se os mecanismos de segurana da aplicao so robustos, assim como para encontrar problemas difceis de identificar simplesmente examinando os resultados da aplicao. Testar a aplicao particularmente til para provar que as falhas so de fato explorveis. Esses mtodos so complementares e at redundantes em algumas reas. Revisando o Cdigo: Para acompanhar o Guia do Desenvolvedor OWASP e o Guia de Teste OWASP, o OWASP criou o Guia de Reviso de Cdigo OWASP para ajudar os desenvolvedores e os especialistas em segurana de aplicaes a entender como revisar uma aplicao web eficientemente e de maneira eficaz. Inmeros problemas de segurana em aplicaes web, tais como Falhas de Injeo, podem ser mais fceis de detectar atravs da reviso do cdigo do que por testes externos. Ferramentas para Reviso de Cdigo: OWASP tem feito um trabalho promissor de ajuda aos especialistas na anlise de cdigo, mas essas ferramentas esto ainda em fase inicial. Os autores das ferramentas usam as mesmas diariamente, mas no-especialistas podem ach-las difceis de usar. Entre estas ferramentas esto CodeCrawler, Orizon e O2. Somente a O2 est em desenvolvimento ativo desde a ltima verso dos Top 10 de 2010. Existem outras ferramentas abertas para reviso de cdigo. A mais promissora delas a FindBugs, e seu novo plug-in voltado a segurana: FindSecurityBugs, ambos para Java.
+O
Iniciando
Estabelecer um programa de segurana de aplicaes e estimular sua adoo. Conduzir uma anlise de diferenas de capacitao, comparando sua organizao com outras semelhantes, definindo reas chave para melhorias e um plano de execuo. Obter aprovao da liderana e estabelecer uma campanha de conscientizao em segurana de aplicaes para toda a organizao de TI.
Identificar e estabelecer prioridades no portfolio de aplicaes usando uma perspectiva de risco. Criar um modelo de avaliao de risco em aplicaes para medir e priorizar as aplicaes do portfolio. Estabelecer diretrizes de segurana com o fim de definir a cobertura e o nvel de rigor necessrios. Estabelecer um modelo comum de classificao de riscos aliado a um conjunto consistente de fatores de impacto e probabilidade que reflitam a tolerncia de risco da organizao.
Estabelecer um conjunto de politicas e normas que sejam uma base para segurana de aplicaes a ser seguida por todas as equipes de desenvolvimento. Definir um conjunto comum de controles de segurana reutilizveis que complementem as polticas e normas, contendo orientaes de uso para as fases de projeto e desenvolvimento. Estabelecer um currculo de formao em segurana de aplicaes obrigatrio e direcionado s diversas funes de desenvolvimento e tpicos existentes.
Definir e integrar implementaes de segurana e atividades de verificao nos processos de desenvolvimento e operao existentes. As atividades incluem Modelagem de Ameaas, Projeto Seguro e Reviso, Codificao e Reviso de Cdigo com Segurana, Testes de Invaso, e Correo. Oferecer especialistas e servios de suporte para as equipes de desenvolvimento e projeto para obter xito nos processos.
Gerenciar usando mtricas. Efetuar melhorias e decises de investimento baseadas nas mtricas e anlises dos dados capturados. Mtricas incluem aderncia s atividades e prticas seguras, vulnerabilidades introduzidas, vulnerabilidades mitigadas, abrangncia da aplicao, densidade de defeitos por contagem de tipo e instncia, etc. Analisar dados das atividades de implementao e verificao procurando por causas raiz e padres de vulnerabilidade com o fim de conduzir as melhorias estratgica e sistematicamente em toda a empresa.
+R
Agentes de Ameaa
Especfico da Aplicao
Explorao MDIA
Prevalncia
MUITO DIFUNDIDA
Deteco FCIL
Impacto MODERADO
0 1
1 * 2
2 2
+F
RISCO
A1-Injeo A2-Autenticao A3-XSS A4-Ref. Insegura A5-Conf. Incorreta A6-Exp. de Dados A7-Cont. Acesso A8-CSRF
Agentes de Ameaa Especfico Apl. Especfico Apl. Especfico Apl. Especfico Apl. Especfico Apl. Especfico Apl. Especfico Apl. Especfico Apl. Especfico Apl. Especfico Apl.
Vetores de Ataque
Impactos no Negcio
Explorao
Especfico Apl. Especfico Apl. Especfico Apl. Especfico Apl. Especfico Apl. Especfico Apl. Especfico Apl. Especfico Apl. Especfico Apl. Especfico Apl.
A9-Comp. Vulner.
A10-Redirecion.
MDIA
MDIA
GENERALIZADA
RARA
DIFCIL
FCIL
MODERADO
MODERADO