Page 19 - newDATAmagazine

Page 19 - newDATAmagazine | 14>06>2022

P. 19

O “Desenho Inseguro” é uma das novas igualmente relacionada com a crescente
categorias da mais recente versão do OWASP utilização de frameworks e componentes de
Top 10. A ideia que está por detrás desta nova software desenvolvido por terceiros, na
categoria prende-se com a necessidade de conceção de uma aplicação web. A utilização

integração da segurança em todos os destes componentes faz com que a superfície
diferentes processos no projeto de de ataque da aplicação web aumente, uma vez
desenvolvimento de uma aplicação segura – que depende de componentes de software que

desde o seu planeamento até à sua instalação. foram desenvolvidos por terceiros e que
Um desenho inseguro de uma aplicação web podem conter vulnerabilidades. Assim, é
nunca poderá ser corrigido através de uma importante considerar não apenas a
implementação perfeita, pois, por deﬁnição, os segurança do código da aplicação em

controlos de segurança apropriados nunca desenvolvimento, mas igualmente de todos os
foram planeados nem desenhados para componentes dos quais depende.
garantirem uma defesa adequada contra Seguidamente, temos as “Falhas na

ataques aplicacionais especíﬁcos. Identiﬁcação e Autenticação”. Esta categoria
A próxima categoria é a “Conﬁguração era anteriormente conhecida como “Quebra na

Insegura”. Esta categoria subiu uma posição Autenticação” e desceu de importância nesta
na lista do OWASP Top 10, ocupando o quinto lista. Passou a integrar não apenas as
lugar. Como o desenvolvimento de aplicações questões relacionadas com a autenticação,

web envolve cada vez mais a utilização de mas igualmente as que estão relacionadas
frameworks e de componentes de software de com a identiﬁcação, como mecanismos
terceiros, a conﬁguração apropriada é um básicos da proteção e controlo de acesso a
aspeto cada vez mais crítico. O aumento do dados e outros ativos. Nesta categoria,

n ú m e ro d e c o n ﬁ g u r a ç õ e s a u m e n t a incluem-se problemas como a ﬁxação ou
igualmente a possibilidade da existência de roubo de sessões, a possibilidade de utilização
erros. Estas conﬁgurações inseguras podem de palavras-passe fracas, a realização de

incluir aspetos como a ativação de ataques de força bruta contra sistemas de
funcionalidades desnecessárias, a existência autenticação, assim como a ausência da
de palavras-passe deﬁnidas por defeito e a u t i l i z a ç ã o d e f a t o re s m ú l t i p l o s d e
desatualização do software ou de frameworks autenticação.

utilizadas. “Falhas na Integridade do Software e dos

Na sexta posição encontramos os Dados” é igualmente uma nova categoria do
“Componentes Desatualizados e Vulneráveis”. OWASP Top 10. A categoria anterior,
Esta categoria era conhecida como “Utilização designada por “Deserialização Insegura”, está
de Componentes com Vulnerabilidades agora integrada nesta, que está focada em

Conhecidas” na anterior versão do OWASP Top dados críticos, na integridade dos processos
10, tendo subido consideravelmente na lista. de integração e de desenvolvimento contínuo
De certa forma, esta categoria sobrepõe-se um (CI/CD) e em mecanismos de deserialização

pouco à categoria anterior, uma vez que está inseguros.

newDATAmagazine.com 19

14 15 16 17 18 19 20 21 22 23 24