Page 18 - newDATAmagazine | 14>06>2022
P. 18
A categoria de “Quebras no Controlo de que, muitas vezes, levam à exposição de dados
Acesso” subiu da quinta posição que ocupava confidenciais (em trânsito, em repouso, ou em
na anterior versão para a primeira posição. utilização) ou ao comprometimento de
Cerca de 94% das aplicações que foram sistemas. Nesta categoria incluem-se aspetos
testadas na elaboração do OWASP Top 10 como a utilização de algoritmos criptográficos
apresentaram algum tipo de quebra no fracos, a gestão incorreta de material
controlo de acesso, o que é um valor criptográfico (chaves fracas, reutilização de
preocupante. O que se pretende é controlar o chaves, entre outros) e a transmissão de dados
que um utilizador de uma aplicação ou API sensíveis sem qualquer tipo de preocupação
Web pode ou não realizar na mesma de acordo com a sua confidencialidade.
com as suas permissões. Nesta categoria A “Injeção” é a categoria que se segue. Esta
incluem-se aspetos como o acesso não- é, provavelmente, a categoria mais conhecida
autorizado a APIs devido a más configurações de todas em que se incluem as injeções de
(CORS, falta de controlos de acesso para o SQL, injeções de comandos e injeções de
POST, PUT, entre outros), o escalamento de LDAP. Pela primeira vez, as falhas conhecidas
privilégios, a adulteração de tokens (como o como XSS (Cross-Site Scripting) estão
JWT) e a possibilidade de visualização de igualmente englobadas nesta categoria. Nesta
registos e informação e dados de outros situação, as causas desta categoria de risco
utilizadores. podem ser, quase todas elas, relacionadas com
“Falhas Criptográficas” é uma categoria que a ausência de validação dos dados fornecidos
se designava por “Exposição de Dados pelos utilizadores. Apesar desta categoria ter
Sensíveis” e que anteriormente ocupava a passado da primeira para a terceira posição,
terceira posição. O foco desta categoria está continua com uma prevalência elevada a nível
nas falhas relacionadas com a criptografia, das aplicações examinadas.
18 newDATAmagazine.com