quinta-feira, 11 de julho de 2013

Publicado o OWASP Top 10 2013

A nova versão dos Top 10 riscos para aplicações web da OWASP

Saiu a publicação da nova versão oficial do OWASP Top 10 2013 [1]. Ela já estava disponível para visualização e comentários, porém agora foi lançada na versão oficial [2]. Para quem ainda não conhece a OWASP (Open Web Application Security Project) é uma organização internacional, criada em 2003, sem fins lucrativos que visa fornecer recursos, documentos e ferramentas para a melhoria da segurança das aplicações no mundo todo. Mais informações sobre o OWASP e suas atividades poderão sem encontradas em www.owasp.org.

O OWASP Top 10 é um documento que demostra um consenso geral entre os profissionais de segurança, listando os 10 riscos mais comuns entre as aplicações web e definido por ordem de importância. A listagem dessas vulnerabilidades começou em 2004 e normalmente a cada 3 anos é realizado uma revisão da lista de acordo com estatísticas de várias organizações e empresas.

Então, nesses últimos 3 anos tivemos grandes mudanças? Inicialmente veja na tabela abaixo as diferenças entre o Top 10 2010 e o 2013:


Analisando a tabela observaremos que houve algumas mudanças, o A2 não é mais Cross-Site Scripting (XSS) e sim Broken Authentication and Session Management. A razão principal desta mudança é que as falhas de XSS estão sendo mais facilmente encontradas e mitigadas e os frameworks de desenvolvimento já possuem em sua maioria mecanismos de proteção inclusos contra este tipo de falha, embora ainda seja comum encontrar as mesmas em sites e produtos que testamos. Quanto às falhas de autenticação, estas são mais difíceis de serem verificadas e encontradas por scanners automatizados e por isso diversas aplicações web possuem algum problema relacionado, por menor que seja.

O A7 - Insecure Cryptographic Storage  unificou-se com o A9 - Insufficient Transport Layer Protection para formar o A6 - Sensitive Data Exposure, visto que ambos tratavam da proteção de dados sensíveis, o primeiro no armazenamento e o segundo no transporte.

O novo A7 - Missing Function Level Access Control se tornou uma ampliação do antigo A8 - Failure to Restrict URL Access, abordando todos os problemas relativos a controle de acesso da aplicação. Ele visa proteger o acesso não autorizado a funcionalidades do sistema.

E o novo A9 - Using Known Vulnerable Components está relacionado a grande utilização de códigos e bibliotecas de terceiros sem a devida atualização e verificação de segurança dos mesmos. A utilização de frameworks ou bibliotecas vulneráveis pode facilmente tornar seu sistema vulnerável caso alguma falha seja identificada para aquele componente utilizado. Muitas empresas e organizações não dão o devido cuidado a este tipo de problema por achar que um código de terceiro é seguro por natureza. Se todo mundo usa, então não deve ter problema não é mesmo? Ledo engano. É muito importante que durante análises de vulnerabilidades e auditorias de código esses componentes sejam devidamente avaliados e testados em buscas de falhas que possam comprometer toda a aplicação que os utiliza. Alguns exemplos desse tipo de falha e o impacto que elas podem causar podem ser identificadas no Spring Remote Code Execution [3] e o Apache CXF Authentication Bypass (CVE-2012-3451) [4].

Apesar destas mudanças os outros itens permaneceram intactos, mudando apenas de posição no ranking da lista. É importante que sua aplicação esteja protegida destes riscos, mas que não se limite apenas ao Top 10, pois existem outras vulnerabilidades que não são abordadas nesta lista mas que também podem causar grande impacto caso sua aplicação esteja vulnerável.



Postado por às
Marcadores:

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)