Page 18 - newDATAmagazine | 14>06>2022
P. 18

A  categoria  de  “Quebras  no  Controlo  de       que, muitas vezes, levam à exposição de dados
         Acesso” subiu da quinta posição que ocupava           confidenciais (em trânsito, em repouso, ou em
         na  anterior  versão  para  a  primeira  posição.     utilização)  ou  ao  comprometimento  de

         Cerca  de  94%  das  aplicações  que  foram           sistemas. Nesta categoria incluem-se aspetos
         testadas  na  elaboração  do  OWASP  Top  10          como a utilização de algoritmos criptográficos
         apresentaram  algum  tipo  de  quebra  no             fracos,  a  gestão  incorreta  de  material
         controlo  de  acesso,  o  que  é  um  valor           criptográfico  (chaves  fracas,  reutilização  de
         preocupante. O que se pretende é controlar o          chaves, entre outros) e a transmissão de dados
         que  um  utilizador  de  uma  aplicação  ou  API      sensíveis sem qualquer tipo de preocupação

         Web pode ou não realizar na mesma de acordo           com a sua confidencialidade.
         com  as  suas  permissões.  Nesta  categoria             A “Injeção” é a categoria que se segue. Esta
         incluem-se  aspetos  como  o  acesso  não-            é, provavelmente, a categoria mais conhecida
         autorizado a APIs devido a más configurações           de  todas  em  que  se  incluem  as  injeções  de
         (CORS,  falta  de  controlos  de  acesso  para  o     SQL,  injeções  de  comandos  e  injeções  de

         POST,  PUT,  entre  outros),  o  escalamento  de      LDAP. Pela primeira vez, as falhas conhecidas
         privilégios,  a  adulteração  de  tokens  (como  o    como  XSS  (Cross-Site  Scripting)  estão
         JWT)  e  a  possibilidade  de  visualização  de       igualmente englobadas nesta categoria. Nesta
         registos  e  informação  e  dados  de  outros         situação, as causas desta categoria de risco
         utilizadores.                                         podem ser, quase todas elas, relacionadas com

            “Falhas Criptográficas” é uma categoria que         a ausência de validação dos dados fornecidos
         se  designava  por  “Exposição  de  Dados             pelos utilizadores. Apesar desta categoria ter
         Sensíveis”  e  que  anteriormente  ocupava  a         passado da primeira para a terceira posição,
         terceira posição. O foco desta categoria está         continua com uma prevalência elevada a nível

         nas  falhas  relacionadas  com  a  criptografia,       das aplicações examinadas.


     18 newDATAmagazine.com
   13   14   15   16   17   18   19   20   21   22   23