OWASP é um projeto sem fins lucrativos, de comunidade aberta, que visa ajudar na

capacitação de organizações para que possam desenvolver e/ou manter aplicações seguras,
auxiliando com a disponibilização de documentos, ferramentas, vídeos, além de treinamentos
gratuitos.

OWASP TOP10 é um documento informativo baseado em uma lista com as 10 falhas de

seguranças mais críticas, que está sempre sendo atualizada conforme o cenário atual. Ela foi
desenvolvida pela OWASP com objetivo de conscientizar profissionais da área de segurança e
TI sobre quais os principais riscos as aplicações podem enfrentar.

O TOP10 mais atual é o de 2021, sendo:

1. Quebra de Acesso: São falhas que permitem o acesso a recursos e operações não
autorizadas ao atacante.

2. Exposição de dados sensíveis: Quando o atacante consegue o acesso não autorizado a dados
sensíveis.

3. Injeção: Através de falhas em entradas um atacante consegue inserir códigos maliciosos em

uma aplicação. Agora faz parte desta categoria o Cross-Site Scripting, que é quando o atacante
consegue inserir scripts maliciosos em páginas web que serão visualizadas por outros usuários
que terão sua segurança comprometida.

4. Projeto Inseguro: Ocorre quando um software ou sistema é projetado sem considerar as

medidas de segurança adequadas, resultando em falhas de segurança no sistema de
autenticação, criptografia de dados entre outros.

5. Má configuração de segurança: Ocorre devido a uma configuração errada em uma aplicação,

deixando brechas para ataques. O XML External Entity agora faz parte desta categoria., que é
quando o atacante consegue acesso a dados sensíveis e ataques de negação de serviço
explorando um processamento de XML inseguro.

6. Utilização de componentes com vulnerabilidades conhecidas: Quando são utilizadas

bibliotecas, frameworks ou componentes que já possuem vulnerabilidades conhecidas.

7. Quebra de autenticação: Devido a falhas de autenticação, o atacante consegue assumir

identidade de outros usuários em uma aplicação.

8. Falhas de integridade de software e dados: São erros que comprometem a execução correta
de um software, onde um atacante se aproveitando destas falhas pode obter acesso não
autorizado, vazando dados, corrompendo informações, realizando interrupções de serviços,
entre outros. Inclusão de componentes com riscos conhecidos agora faz parte desta categoria.

9. Falhas de registro e monitoramento de segurança: Envolve a falta de monitoramento para

detectar atividades suspeitas e investigar incidentes de segurança.

10. Server-Side Request Forgery: é quando uma falha de segurança onde o atacante consegue
enganar o servidor fazendo solicitações a outros sistemas, conseguindo acessar informações
confidenciais, ataques de negação de serviço, ou explorar vulnerabilidades.
É um guia realizado pela OWASP, que fornece orientações detalhadas sobre como realizar
testes de segurança em aplicações web, com objetivo de auxiliar profissionais de segurança e
desenvolvedores a identificar e avaliar suas aplicações. O guia é frequentemente atualizado
com novas técnicas levando em consideração a frequente atualização de nosso cenário.

O processo auxilia na coleta de informações, análise, testes manuais e automatizados, revisão

de código, relatório e correções, e repetição, uma vez que o processo de teste de segurança
deve ser contínuo à medida que as aplicações são atualizadas.