Escolar Documentos
Profissional Documentos
Cultura Documentos
Notas Participantes
O software inseguro est debilitando nossa infraestrutura Open Web Application Security Project (OWASP) uma
financeira, de sade, de defesa, de energia e outras comunidade aberta, dedicada a capacitar as organizaes a
infraestruturas crticas. medida que nossa infraestrutura desenvolver, adquirir e manter aplicaes confiveis. No
digital fica cada vez mais complexa e interligada, a OWASP se pode encontrar, grtis e de forma aberta...
dificuldade em obter segurana em aplicaes aumenta
exponencialmente. No podemos mais tolerar os problemas Normas e ferramentas de segurana em aplicaes
de segurana relativamente simples, como os apresentados Livros completos sobre testes de segurana,
nesta edio do OWASP Top 10. desenvolvimento de cdigo seguro e reviso de segurana
de cdigo
O Top 10 tem como objetivo a sensibilizao sobre segurana Normas e bibliotecas de controles de segurana
em aplicaes atravs da identificao de alguns dos riscos Captulos locais do OWASP pelo mundo
mais crticos enfrentados pelas organizaes. O projeto Top Pesquisas ltima gerao
10 referenciado por muitas normas, livros, ferramentas e Conferncias do OWASP pelo mundo
organizaes, incluindo MITRE, PCI DSS, DISA, FTC, e muitas Listas de discusso.
outras. Esta verso do projeto Top 10 marca o dcimo Saiba mais em: https://www.owasp.org
aniversrio dessa sensibilizao. O OWASP Top 10 foi lanado
inicialmente em 2003, tendo pequenas atualizaes em 2004 Todos as ferramentas, documentos, fruns e captulos do
e em 2007. A verso de 2010 foi reformulada para priorizar OWASP so grtis e abertos a todos os interessados em
por risco, no somente por prevalncia. A verso 2013 segue aperfeioar a segurana em aplicaes. Promovemos a
essa mesma abordagem. abordagem da segurana em aplicaes como um problema
de pessoas, processos e tecnologia, porque as abordagens
A OWASP encoraja a utilizao do Top 10 para que as mais eficazes em segurana de aplicaes requerem melhorias
organizaes comecem com segurana em suas aplicaes. nestas reas.
Os desenvolvedores podem aprender com os erros de outras
organizaes. Os executivos devem comear a pensar em A OWASP um novo tipo de organizao. O fato de ser livre de
como gerenciar o risco que as aplicaes de software criam presses comerciais permite fornecer informao de
em suas empresas. segurana de aplicaes imparcial, prtica e de custo eficiente.
A OWASP no filiada a nenhuma empresa de tecnologia,
A longo prazo, encorajamos a criao de um programa de apesar de apoiar o uso de tecnologia de segurana comercial.
segurana em aplicaes compatvel com a cultura e Da mesma forma que muitos projetos de software de cdigo
tecnologia da organizao. Estes programas podem existir aberto, a OWASP produz vrios tipos de materiais de maneira
em qualquer tamanho e forma, e deve-se evitar seguir colaborativa e aberta.
apenas o que um determinado modelo prescreve. Ao invs
disso, deve-se aproveitar os pontos fortes da organizao A Fundao OWASP uma entidade sem fins lucrativos que
para quantificar e determinar o que funciona para a mesma. garante o sucesso do projeto a longo prazo. Quase todos os
associados OWASP so voluntrios, incluindo a Direo da
Desejamos que o OWASP Top 10 seja til em seus esforos OWASP, os Comits Globais, os Lderes dos Captulos, os
de segurana em aplicaes. No deixe de contatar a OWASP Lderes de Projetos e os membros dos projetos. Apoiamos a
com suas perguntas, comentrios e outras ideias, seja pesquisa inovadora em segurana atravs de bolsas e
publicamente na owasp-topten@lists.owasp.org ou de forma infraestrutura.
privada para dave.wichers@owasp.org. Junte-se a ns!
Copyright e Licena
Copyright 2003 2013 The OWASP Foundation
Este documento publicado sob a licena Creative Commons Attribution ShareAlike 3.0. Para qualquer
tipo de reutilizao ou distribuio, os termos deste trabalho devero ser informados.
I Introduo
Bem-vindo
Bem-vindo ao OWASP Top 10 2013! Esta atualizao amplia uma das categorias da verso 2010 para ser mais abrangente,
incluindo vulnerabilidades importantes, comuns, e reordena outras com base na mudana de dados de prevalncia. Ele tambm
traz a segurana de componentes para o centro das atenes criando uma categoria especfica para este risco, tirando-o da
obscuridade das letras midas do risco A6 de 2010: Configurao Incorreta de Segurana.
O OWASP Top 10 para 2013 baseado em 8 conjuntos de dados de 7 empresas que se especializam em segurana de aplicaes,
incluindo 4 consultorias and 3 fornecedores de ferramenta/Software as a Service (1 esttica, 1 dinmica, and 1 com ambas) .
Estes dados abrangem mais de 500.000 vulnerabilidades em centenas de organizaes e milhares de aplicaes. Os itens Top 10
so selcionados e priorizados de acordo com dados de prevalncia, em combinao com estimativas do consenso da explorao,
deteco e impacto.
O objetivo principal do OWASP Top 10 educar desenvolvedores, projetistas, arquitetos, gestores e organizaes sobre as
consequncias das mais importantes vulnerabilidades de segurana de aplicaes web. O Top 10 fornece tcnicas bsicas para se
proteger contra essas reas problemticas de alto risco e tambm fornece orientao sobre onde ir a partir daqui.
Avisos Agradecimentos
No pare nos 10. Existem centenas de problemas que podem
afetar a segurana geral de uma aplicao web como Obrigado Aspect Security por iniciar, liderar e atualizar o
discutido no Guia do Desenvolvedor OWASP e na Srie de OWASP Top 10 desde sua concepo em 2003, e a seus
Dicas OWASP. Estas so leituras essenciais para o autores principais: Jeff Williams and Dave Wichers.
desenvolvimento de aplicaes web. Orientao sobre como
encontrar, de forma efetiva, vulnerabilidades em aplicaes
web fornecida no Guia de Testes OWASP e no Guia de
Reviso de Cdigo OWASP.
Gostaramos de agradecer s organizaes que contriburam
Mudana constante. Este Top 10 continuar sendo alterado. com seus dados de prevalncia para esta atualizao de 2013:
Mesmo sem alterar uma linha de cdigo da sua aplicao, ela
poder ficar vulnervel a novas falhas que so descobertas e Aspect Security Estatsticas
mtodos de ataque que so refinados. Por favor, revise a HP Estatsticas from both Fortify and WebInspect
orientao no final deste documento em Prximos Passos Minded Security Estatsticas
para Desenvolvedores, Verificadores e Organizaes para Softtek Estatsticas
maiores informaes. Trustwave, SpiderLabs Estatsticas (See page 50)
Veracode Estatsticas
Pense positivo. Quando voc estiver pronto para parar de WhiteHat Security Inc. Estatsticas
procurar vulnerabilidades e focar no estabelecimento de
fortes controles de segurana nas suas aplicaes, OWASP Ns gostaramos de agradecer todos que contriburam com as
produziu o Padro de Verificao de Segurana em verses anteriores do Top 10. Sem estas contribuies, ele no
Applicaes (ASVS) como um guia de verificao para as seria o que hoje. Tambm agradecemos aqueles que
organizaes. contriburam com comentrios e tempo revisando esta
atualizao:
Use ferramentas de forma inteligente. Vulnerabilidades de
Adam Baso (Wikimedia Foundation)
segurana podem ser bastante complexas e enterradas em
Mike Boberski (Booz Allen Hamilton)
montanhas de cdigo. Em muitos casos, a abordagem com
Torsten Gigler
melhor custo-benefcio para encontrar e eliminar estas
Neil Smithline (MorphoTrust USA) Pela produo da
vulnerabilidades envolver especialistas armados com boas
verso wiki do Top 10, e fornecendo feedback
ferramentas.
E finalmente, agradecemos antecipadamente todos os
Mude de rumo. Concentre-se em tornar a segurana parte
tradutores que iro traduzir esta verso do Top 10 em
integral da cultura de desenvolvimento da organizao.
inmeras linguagens diferentes, ajudando a torn-lo mais
Encontre mais no Modelo Aberto de Maturidade e Garantia
acessvel no planeta inteiro.
do Software (SAMM) and the Rugged Handbook.
NV Notas da Verso
1) Quebra de Autenticao e Gerenciamento de Sesso aumentou sua prevalncia em nossa base de dados. Acreditamos que isto
provavelmente ocorreu porque esta rea est sendo analisada rigorosamente, e no porque mais predominante. Isso resultou na troca
de posies entre os Riscos A2 e A3.
2) Cross-Site Request Forgery (CSRF) reduziu sua prevalncia em nossa base de dados de 2010-A5 para 2013-A8. Acreditamos que a causa
seja o fato do CSRF permanecer no OWASP Top 10 por 6 anos, e as organizaes e os frameworks de desenvolvimento concentraram-se
em reduzir significativamente o nmero de vulnerabilidades CSRF nas aplicaes.
3) Ampliamos a Falha na Restrio de Acesso a URL do OWASP Top 10 2010 para ser mais abrangente:
+ 2010-A8: Falha na Restrio de Acesso a URL agora 2013-A7: Falta de Funo para Controle do Nvel de Acesso cobrindo todas as
funes de controle do nvel de acesso. Existem muitas maneiras de especificar qual funo est sendo acessada, no apenas a URL.
4) Agrupamos e ampliamos 2010-A7 e 2010-A9 para CRIAR: 2013-A6:Exposio de Dados Sensveis:
Esta uma nova categoria criada com o agrupamento do 2010-A7 - Armazenamento Criptogrfico Inseguro e 2010-A9 - Proteo
Insuficiente no Nvel de Transporte, alm de adicionar riscos aos dados sensveis inseridos via navegador. Esta nova categoria abrange
proteo a dados sensveis (exceto controle de acesso que coberto pelos 2013-A4 e 2013-A7) a partir do momento que esses dados
so fornecidos pelo usurio, enviados e armazenados pela aplicao, e em seguida enviados novamente ao navegador.
5) Adicionamos: 2013-A9: Utilizao de Componentes Vulnerveis Conhecidos
+ Este assunto foi mencionado como parte do 2010-A6 - Configurao Incorreta de Segurana, mas agora possui uma categoria prpria
devido ao crescimento do desenvolvimento baseado em componentes, o que aumentou significativamente o risco de utilizao de
componentes vulnerveis conhecidos.
A8 Falha na Restrio de Acesso a URL Ampliado para A7 Falta de Funo para Controle do Nvel de Acesso
Asset
Attack Weakness Control Impact
Function
Attack Weakness Impact
Asset
Weakness Control
s vezes, esses caminhos so triviais para encontrar e explorar, e em outras, so extremamente difceis. Da mesma forma, o dano
causado pode ter nenhuma consequncia, ou pode acabar com o seu negcio. Para determinar o risco para a sua organizao,
voc pode avaliar a probabilidade associada a cada agente de ameaa, vetor de ataque, vulnerabilidade de segurana e combin-
la com uma estimativa dos impactos tcnico e no negcio da sua empresa. Juntos, esses fatores determinam o risco total.
A2 Quebra de
Autenticao e As funes da aplicao relacionadas com autenticao e gerenciamento de sesso geralmente so
implementadas de forma incorreta, permitindo que os atacantes comprometam senhas, chaves e tokens de
Gerenciamento de sesso ou, ainda, explorem outra falha da implementao para assumir a identidade de outros usurios.
Sesso
A3 Cross-Site Falhas XSS ocorrem sempre que uma aplicao recebe dados no confiveis e os envia ao navegador sem
validao ou filtro adequados. XSS permite aos atacantes executarem scripts no navegador da vtima que
Scripting (XSS) podem sequestrar sesses do usurio, desfigurar sites, ou redirecionar o usurio para sites maliciosos.
A4 Referncia Uma referncia insegura e direta a um objeto ocorre quando um programador expe uma referncia
implementao interna de um objeto, como um arquivo, diretrio, ou registro da base de dados. Sem a
Insegura e Direta a verificao do controle de acesso ou outra proteo, os atacantes podem manipular estas referncias para
Objetos acessar dados no-autorizados.
A5 Configurao Uma boa segurana exige a definio de uma configurao segura e implementada na aplicao,
frameworks, servidor de aplicao, servidor web, banco de dados e plataforma. Todas essas configuraes
Incorreta de devem ser definidas, implementadas e mantidas, j que geralmente a configurao padro insegura.
Segurana Adicionalmente, o software deve ser mantido atualizado.
Muitas aplicaes web no protegem devidamente os dados sensveis, tais como cartes de crdito, IDs
A6 Exposio de fiscais e credenciais de autenticao. Os atacantes podem roubar ou modificar esses dados desprotegidos
com o propsito de realizar fraudes de cartes de crdito, roubo de identidade, ou outros crimes. Os dados
Dados Sensveis sensveis merecem proteo extra como criptografia no armazenamento ou em trnsito, bem como
precaues especiais quando trafegadas pelo navegador.
A7 Falta de A maioria das aplicaes web verificam os direitos de acesso em nvel de funo antes de tornar essa
Funo para funcionalidade visvel na interface do usurio. No entanto, as aplicaes precisam executar as mesmas
verificaes de controle de acesso no servidor quando cada funo invocada. Se estas requisies no
Controle do Nvel forem verificadas, os atacantes sero capazes de forjar as requisies, com o propsito de acessar a
de Acesso funcionalidade sem autorizao adequada.
A8 Cross-Site Um ataque CSRF fora a vtima que possui uma sesso ativa em um navegador a enviar uma requisio
HTTP forjada, incluindo o cookie da sesso da vtima e qualquer outra informao de autenticao includa
Request Forgery na sesso, a uma aplicao web vulnervel. Esta falha permite ao atacante forar o navegador da vtima a
(CSRF) criar requisies que a aplicao vulnervel aceite como requisies legtimas realizadas pela vtima.
A9 Utilizao de Componentes, tais como bibliotecas, frameworks, e outros mdulos de software quase sempre so
Componentes executados com privilgios elevados. Se um componente vulnervel explorado, um ataque pode causar
srias perdas de dados ou o comprometimento do servidor. As aplicaes que utilizam componentes com
Vulnerveis vulnerabilidades conhecidas podem minar as suas defesas e permitir uma gama de possveis ataques e
Conhecidos impactos.
A10 Aplicaes web frequentemente redirecionam e encaminham usurios para outras pginas e sites, e usam
Redirecionamentos dados no confiveis para determinar as pginas de destino. Sem uma validao adequada, os atacantes
e Encaminhamen- podem redirecionar as vtimas para sites de phishing ou malware, ou usar encaminhamentos para acessar
pginas no autorizadas.
tos Invlidos
A1 Injeo
Vetores Vulnerabilidades Impactos Impactos
de Ataque de Segurana Tcnicos no Negcio
Agentes de Ameaa
Considere atacantes Atacante usa Os desenvolvedores frequentemente Tais falhas podem Considere o valor de
externos annimos, vazamentos ou falhas implementam a autenticao e gerenciamento permitir que algumas negcio dos dados ou
ou mesmo usurios nas funes de de sesso em suas aplicaes de forma ou mesmo todas as funes da aplicao
autenticados, que autenticao ou personalizada, mas a implementao correta contas sejam afetados. Tambm
podem tentar roubar gerenciamento de difcil. Como resultado, esses esquemas atacadas. Uma vez considere o impacto
contas de outros sesso (por exemplo, personalizados frequentemente possuem bem sucedido, o no negcio atravs da
usurios. Considere contas expostas, falhas em reas do sistema como logout, atacante pode fazer exposio pblica da
tambm usurios senhas, IDs de sesso) gesto de senhas, tempo de expirao, qualquer coisa que a vulnerabilidade.
internos que desejam para assumir a "lembrar senha", pergunta secreta, atualizar vtima faria. Contas
disfarar suas aes. identidade de outro conta, etc. Algumas vezes, encontrar essas privilegiadas so alvos
usurio. falhas pode ser difcil j que cada frequentes.
implementao nica.
Considere o tipo dos O atacante, que um Aplicaes freqentemente usam o nome real Tais falhas podem Considere o valor de
usurios do seu usurio autorizado do ou a chave de um objeto ao gerar pginas web. comprometer todos negcio dos dados
sistema. Qualquer sistema, Aplicaes nem sempre verificam se o usurio os dados que podem expostos.
usurio tem somente simplesmente muda o autorizado para o objeto alvo. Isto resulta ser referenciados pelo
acesso parcial a valor de um numa falha de referncia insegura e direta a parmetro. A menos Tambm considere o
determinados tipos de parmetro que se um objeto. Testadores podem facilmente que as referncias a impacto ao negcio da
dados do sistema? refere diretamente a manipular valores de parmetros para detectar objetos sejam exposio pblica da
um objeto do sistema tal falha. Anlise de cdigo rapidamente imprevisveis, fcil vulnerabilidade.
por outro objeto que mostra se a autorizao verificada de forma para um atacante
o usurio no est adequada. acessar todos os
autorizado. O acesso dados disponveis
concedido? desse tipo.
Com isso, o atacante constri uma requisio que ir transferir OWASP CSRFGuard - CSRF Defense Tool
dinheiro da conta da vtima para a conta do atacante, e ento ESAPI Project Home Page
incorpora este ataque em uma requisio armazenada em uma
imagem ou iframe em vrios sites sob o controle do atacante: ESAPI HTTPUtilities Class with AntiCSRF Tokens
<img src="http://exemplo.com/app/transferirFundos? OWASP Testing Guide: Chapter on CSRF Testing
quantia=1500&contaDestino=contaAtacante# OWASP CSRFTester - CSRF Testing Tool
width="0" height="0" />
Se a vtima visitar qualquer um dos sites do atacante enquanto Externas
estiver autenticado em exemplo.com, essas requisies forjadas iro
incluir automaticamente informaes de sesso do usurio, CWE Entry 352 on CSRF
autorizando o pedido do atacante.
Utilizao de Componentes
A9 Vulnerveis Conhecidos
Vetores Vulnerabilidades Impactos Impactos
de Ataque de Segurana Tcnicos no Negcio
Agentes de Ameaa
Alguns componentes O atacante identifica um Virtualmente todas aplicaes possuem estes A gama completa de Considere o que cada
vulnerveis (por exemplo, componente vulnervel problemas porque a maioria dos times de vulnerabilidades vulnerabilidade pode
bibliotecas de framework) atravs de varredura ou desenvolvimento no focam em garantir que possvel, incluindo significar para o negcio
podem ser identificadas e anlise manual. Ele seus componentes e/ou bibliotecas estejam injeo, falha no controlado pela
exploradas com ferramen- personaliza o exploit atualizados. Em muitos casos, os controle de acesso, XSS, aplicao afetada. Ela
tas automatizadas, expan- conforme necessrio e desenvolvedores sequer conhecem todos os etc. O impacto poderia pode ser trivial ou pode
dindo o leque de agentes de executa o ataque. Isso se componentes que esto usando, muito menos variar do mnimo ao significar o
ameaa incluindo, alm de torna mais difcil se o com- suas verses. Dependncias de componentes completo comprometimento
atacantes direcionados, ponente usado est mais tornam a situao ainda pior. comprometimento do completo.
atores caticos. profundo na aplicao. servidor e dos dados.
Para ajudar organizaes e desenvolvedores a reduzir os riscos de segurana de suas aplicaes de uma forma econmica, o
OWASP criou vrios recursos livres e abertos que podem ser usados visando a segurana de aplicaes na sua empresa. A seguir
se encontram alguns dos muitos recursos que o OWASP criou para ajudar organizaes a produzir aplicaes web seguras. Na
pgina seguinte apresentamos recursos adicionais do OWASP que podem ajudar a verificar a segurana das aplicaes.
Para desenvolver uma aplicao web segura necessrio definir o que significa segurana para
Requisitos de
essa aplicao. O OWASP recomenda usar o Padro de Verificao de Segurana de Aplicaes
Segurana de
(ASVS) como guia para configurar os requisitos de segurana da(s) sua(s) aplicao(es). Se
Aplicaes
estiver terceirizando, considerar o Anexo do Contrato de Software Seguro do OWASP.
Arquitetura Ao invs de adicionar segurana a suas aplicaes, muito mais econmico projetar a segurana
de Segurana desde o princpio. O OWASP recomenda O Guia do Desenvolvedor OWASP e as Dicas de
de Aplicaes Preveno do OWASP como pontos de partida para projetar segurana desde o incio.
Para melhorar o processo que a sua organizao segue ao desenvolver aplicaes, o OWASP
Segurana do
recomenda o Modelo de Maturidade de Garantia do Software (SAMM). Este modelo ajuda a
Ciclo de Vida do
Desenvolvimento
organizao a formular e implementar estratgias para segurana de software customizadas para
os riscos especficos que a organizao enfrenta.
Numerosos recursos adicionais do OWASP esto disponveis. Visite a Pgina de Projetos OWASP, l esto listados todos os
projetos OWASP, organizados por tipo de verso dos projetos (Release Quality, Beta, ou Alfa). A maioria dos recursos OWASP
est disponvel na pgina de wiki, e muitos documentos do OWASP podem ser solicitados em formato Impresso ou eBook.
Prximos Passos para
+V Verificadores
Organize-se
Para verificar a segurana da aplicao web que voc desenvolveu, ou de uma aplicao que esteja considerando adquirir, o
OWASP recomenda verificar o cdigo fonte da mesma (se disponvel), bem como testar a aplicao. O OWASP recomenda
combinar a reviso de segurana do cdigo com o teste de invaso sempre que possvel, pois isto permite aproveitar as
vantagens das duas tcnicas, aliado ao fato que as duas se complementam. As ferramentas para ajudar no processo de
verificao podem melhorar a eficincia e a eficcia de um analista experiente. As ferramentas de verificao do OWASP so
focadas em ajudar o especialista a ser mais eficaz, ao invs de simplesmente automatizar o processo de anlise.
Padronizando o Processo de Verificao da Segurana em Aplicaes Web: Para ajudar as organizaes a desenvolver
consistncia e um nvel definido de rigor ao avaliar a segurana de aplicaes web, OWASP criou o Padro de Verificao de
Segurana de Aplicaes (ASVS). Este documento define um padro mnimo de verificao para testar a segurana de aplicaes
web. OWASP recomenda usar o ASVS no apenas para saber o que procurar quando for verificar a segurana da aplicao, mas
tambm para saber quais tcnicas so mais apropriadas, e para ajudar a definir e selecionar o nvel de rigor dessa verificao. O
OWASP tambm recomenda usar o ASVS para ajudar a definir e selecionar os tipos de servios de verificao de terceiros, se for
contratar este servio.
Conjunto de Ferramentas de Verificao: O Projeto OWASP Live CD compilou algumas das melhores ferramentas abertas de
segurana em um ambiente nico ou em uma mquina virtual (VM). Desenvolvedores web, responsveis pelos testes e
profissionais de segurana podem dar partida no seu sistema usando o CD ou executando a mquina virtual para acessar um
conjunto completo de testes de segurana. No necessrio instalar ou configurar nada para usar as ferramentas do CD.
Estabelecer um conjunto de politicas e normas que sejam uma base para segurana de aplicaes a
Ativar com ser seguida por todas as equipes de desenvolvimento.
uma Definir um conjunto comum de controles de segurana reutilizveis que complementem as polticas e
fundao normas, contendo orientaes de uso para as fases de projeto e desenvolvimento.
slida Estabelecer um currculo de formao em segurana de aplicaes obrigatrio e direcionado s
diversas funes de desenvolvimento e tpicos existentes.
Gerenciar usando mtricas. Efetuar melhorias e decises de investimento baseadas nas mtricas e
anlises dos dados capturados. Mtricas incluem aderncia s atividades e prticas seguras,
Oferecer vulnerabilidades introduzidas, vulnerabilidades mitigadas, abrangncia da aplicao, densidade de
Visibilidade defeitos por contagem de tipo e instncia, etc.
para a
Analisar dados das atividades de implementao e verificao procurando por causas raiz e padres
Gerncia
de vulnerabilidade com o fim de conduzir as melhorias estratgica e sistematicamente em toda a
empresa.
+R Notas Sobre Riscos
Isso Sobre Riscos, No Sobre Vulnerabilidades
Embora as verses do OWASP Top 10 de 2007 e anteriores, fossem focadas em identificar as "vulnerabilidades" mais comuns, o OWASP
Top 10 sempre foi organizado em torno de riscos. Isto tem causado alguma confuso compreensvel por parte das pessoas em busca de
uma taxonomia estanque de vulnerabilidades. O OWASP Top 10 de 2010, esclareceu o foco de risco no Top 10 por ser muito explcito
sobre como agentes de ameaa, vetores de ataque, vulnerabilidades, impactos tcnicos e no negcio se combinavam para produzir
riscos. Esta verso do OWASP Top 10 segue a mesma metodologia.
A metodologia de Classificao de Risco para o Top 10 baseado no OWASP Risk Rating Methodology. Para cada item Top 10, estimou-
se o risco tpico que cada vulnerabilidade introduz em uma aplicao web tpica verificando fatores comuns de probabilidade e fatores
de impacto para cada vulnerabilidade comum. Em seguida, classificamos de forma ordenada o Top 10 de acordo com as
vulnerabilidades que normalmente apresentam o risco mais significativo para uma aplicao.
A OWASP Risk Rating Methodology define inmeros fatores para ajudar a calcular o risco de uma vulnerabilidade identificada. No
entanto, o Top 10 deve falar sobre generalidades, ao invs de vulnerabilidades especficas em aplicaes reais. Consequentemente, no
podemos ser to exatos quanto os proprietrios do sistema podem ser quando calculam os riscos para sua aplicao. Voc est melhor
equipado para julgar a importncia de suas aplicaes e dados, quais so seus agentes de ameaa, e como o sistema foi desenvolvido e
est sendo operado.
Nossa metodologia inclui trs fatores de probabilidade para cada vulnerabilidade (prevalncia, deteco e facilidade de explorao) e
um fator de impacto (impacto tcnico). A prevalncia de uma vulnerabilidade um fator que normalmente voc no tem que calcular.
Para os dados de prevalncia, foram fornecidas estatsticas a partir de um certo nmero de diferentes organizaes (como referenciado
na seo Agradecimentos na pgina 3) e temos uma mdia de seus dados em conjunto para chegar a uma lista Top 10 da probabilidade
de existncia por prevalncia. Estes dados foram ento combinados com os dois outros fatores de probabilidade (deteco e facilidade
de explorao) para calcular uma classificao de probabilidade para cada vulnerabilidade. Este valor foi ento multiplicado pelo nosso
impacto tcnico mdio estimado para cada item para chegar a uma classificao de risco global do Top 10.
Observe que esta abordagem no leva em conta a probabilidade do agente de ameaa. Nem responde por qualquer um dos vrios
detalhes tcnicos associados sua aplicao especfica. Qualquer um desses fatores poderia afetar significativamente a probabilidade
global de um atacante encontrar e explorar uma vulnerabilidade particular. Esta classificao tambm no leva em conta o impacto real
sobre o seu negcio. Sua organizao ter de decidir qual o grau de risco de segurana das aplicaes est disposta a aceitar dada a sua
cultura, indstria e ambiente regulatrio. O objetivo do OWASP Top 10 no fazer a anlise de risco para voc.
A figura seguinte ilustra o nosso clculo do risco para A3: Cross-Site Scripting, como um exemplo. XSS to comum que justifica o nico
"muito difundido", valor 0 de prevalncia. Todos os outros riscos variaram de generalizada a rara (valor de 1 a 3).
Especfico do
Especfico da Explorao Prevalncia Deteco Impacto
Negcio/
Aplicao MDIA MUITO DIFUNDIDA FCIL MODERADO
Aplicao
2 0 1 2
1 * 2
2
+F Detalhes Sobre Fatores de Risco
Top 10 Sumrio de Fator de Risco
A tabela a seguir apresenta um resumo dos Top 10 2013 de Riscos de Segurana em Aplicaes e os fatores de risco que foram
atribudos a cada risco. Esses fatores foram determinados com base nas estatsticas disponveis e na experincia da equipe
OWASP Top 10. Para compreender esses riscos em uma aplicao ou organizao em particular, voc deve considerar seus
prprios agentes de ameaa e impactos no negcio. Mesmo falhas flagrantes de software podem no representar um risco srio
se no houver agentes de ameaa em uma posio de realizar o ataque necessrio, ou o impacto no negcio insignificante para
os ativos envolvidos.
A3-XSS Especfico Apl. MDIA MUITO DIFUNDIDA FCIL MODERADO Especfico Apl.
A4-Ref. Insegura Especfico Apl. FCIL COMUM FCIL MODERADO Especfico Apl.
A5-Conf. Incorreta Especfico Apl. FCIL COMUM FCIL MODERADO Especfico Apl.
A6-Exp. de Dados Especfico Apl. DIFCIL RARA MDIA SEVERO Especfico Apl.
A7-Cont. Acesso Especfico Apl. FCIL COMUM MDIA MODERADO Especfico Apl.
A9-Comp. Vulner. Especfico Apl. MDIA GENERALIZADA DIFCIL MODERADO Especfico Apl.