Concrete Logo
Hamburger button

Vamos falar de OWASP?

  • Blog
  • 9 de Dezembro de 2016
Share

Fala pessoal!

Há algumas semanas, fiz uma introdução sobre Pentest aqui no Blog. Hoje, vamos descrever um pouco melhor a metodologia OWASP (Open Web Application Security Project).

O OWASP é uma comunidade aberta dedicada a capacitar as organizações a desenvolver, adquirir e manter aplicações seguras. É direcionada para testes de vulnerabilidades de segurança em servidores e aplicações web e mantém uma lista com dez principais vulnerabilidades:

Injeção: métodos de injeção de códigos, arquivos e comandos, que ocorrem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta com intuito de retornar dados privativos, quebrar um fluxo de negócio ou sistêmico. Os principais são:

– Injeção de SQL: injeção de códigos SQL;

– Local file inclusion: injeção de arquivos locais na página;

– Remote file inclusion: injeção de arquivos remotos na página;

– Code Injection: injeção de códigos arbitrários;

– Command Injection: injeção de comandos na página;

– XSS: injeção de códigos JavaScript.

Quebra de autenticação e gerenciamento de sessão: permite que os atacantes comprometam senhas, chaves e tokens de sessão, podendo assumir a identidade de outros usuários;

Referência insegura e direta a objetos: exposição da referência de uma implementação de um objeto interno, permitindo sua manipulação e acesso a dados restritos;

Path traversal: acessos a diretórios e arquivos fora da pasta de web root;

File upload: envio de um arquivo malicioso que permite controle da página web;

Configuração incorreta de segurança: garantir a correta configuração de segurança dos aplicativos, servidores, servidores web e servidores de banco de dados, um teste de intrusão nestes pode validar alguns destes pontos falhos;

Exposição de dados sensíveis: tráfego e armazenamento de dados importantes sem sistemas de proteção ou criptografia adequada;

CSRF: forja de requisições HTTP, permitindo que o sistema atacado crie registros, usuários, troca de senhas ou qualquer ação não-autorizada;

Falta de função para controle do nível de acesso: páginas e áreas restritas do sistema sem controle de autenticações e níveis de acesso;

Utilização de componentes vulneráveis conhecidos: uso de framework, aplicativos, componentes com vulnerabilidades já conhecidas;

Redirecionamentos e encaminhamentos inválidos: os atacantes podem redirecionar as vítimas para sites de phishing ou malware, ou usar encaminhamentos para acessar páginas não -autorizadas;

Manutenção do acesso: instalação de páginas, códigos e scripts maliciosos no servidor para poder ter o acesso posteriormente;

Negação de serviço: teste de stress com objetivo de sobrecarregar o servidor/aplicação, podendo derrubá-lo e/ou até mesmo fazer com que fique inacessível.

E por hoje é isso! Espero que tenha conseguido explicar bem o que é o sobre o que se trata o projeto OWASP. Se você tiver alguma dúvida, pode deixar abaixo nos comentários. Até a próxima!

É desenvolvedor web e quer trabalhar em um time ágil de verdade? Acesse aqui.