OWASP Top 10: Controle de acesso falho ainda encabeça a lista de segurança de aplicativos

Alterações entre os 10 principais riscos de aplicação da OWASP em 2021 e 2025

As categorias são inevitavelmente imprecisas e foram atualizadas para 2025. Falhas na cadeia de suprimentos de software é uma nova categoria, substituindo a chamada “componentes vulneráveis ​​e desatualizados”. Falsificação de solicitação do lado do servidor (SSRF) foi integrada à categoria de controle de acesso inadequado. Uma nova categoria foi adicionada para “manipulação inadequada de condições excepcionais”.
Segundo Smithline e Janca, falhas no controle de acesso são “sem dúvida a principal categoria de problemas em aplicativos web, APIs e muitos outros sistemas digitais”. Elas afetam 3,73% dos aplicativos testados. Os erros nessa categoria incluem burlar o controle de acesso por meio de manipulação de URLs, APIs com controles de acesso ausentes, adivinhar URLs para páginas privilegiadas como um usuário comum ou qualquer violação do princípio do menor privilégio.
“Com exceção de recursos públicos, negar por padrão” é a principal dica para prevenção .
A configuração incorreta de segurança ocupa o segundo lugar e seria o principal problema em segurança de nuvem e infraestrutura, afirmaram Smithline e Janca em sua apresentação. Segundo a OWASP, essa questão subiu na lista devido a uma tendência na engenharia de basear a segurança mais na configuração do que em outros métodos.
As falhas na cadeia de suprimentos ocupam o terceiro lugar, apesar de ocorrerem relativamente pouco, porque problemas desse tipo têm “as maiores pontuações médias de exploração e impacto das CVEs [Vulnerabilidades e Exposições Comuns]”, relata a OWASP.
A categoria de Injeção caiu do terceiro para o quinto lugar, graças a ser uma das mais testadas. Os problemas de injeção incluem injeção de SQL e cross-site scripting. 
Um projeto separado da OWASP, que abrange os 10 principais riscos para aplicações de LLM (modelo de linguagem de grande porte) e IA de geração, classifica a injeção de prompts, onde as respostas do modelo são manipuladas por meio de entrada de prompts para burlar as verificações de segurança, como o principal risco.
A nova categoria para tratamento inadequado de condições excepcionais foi adicionada com base no feedback da comunidade. Ela abrange códigos que não respondem corretamente a situações incomuns, incluindo condições de corrida, ataques a transações parcialmente concluídas ou divulgação de informações confidenciais em mensagens de erro.
“Inicialmente, estávamos considerando ‘baixa qualidade de código’ como uma categoria, mas isso é muito amplo. E como resolver isso? Qual seria o conselho? … ‘seu código é ruim, melhore’, isso não ajuda em nada”, disse Janca no Reddit.
A OWASP oferece muitos bons conselhos para melhorar a segurança de aplicações, mas será que algum progresso está sendo feito? “A situação em torno da segurança é a mesma de cinco, dez, quinze e vinte anos atrás”, reclamou um desenvolvedor em resposta à nova lista dos 10 principais problemas, embora reconhecendo que mais problemas estão sendo identificados por ferramentas.
Outro deu a perspectiva de uma pequena empresa, dizendo que a programação segura ainda é “uma reflexão tardia” e que a gerência está mais interessada em novos recursos até que algo ruim aconteça, momento em que já é tarde demais.

Por:Tim Anderson publicado em The Register