Page 19 - newDATAmagazine | 14>06>2022
P. 19
O “Desenho Inseguro” é uma das novas igualmente relacionada com a crescente
categorias da mais recente versão do OWASP utilização de frameworks e componentes de
Top 10. A ideia que está por detrás desta nova software desenvolvido por terceiros, na
categoria prende-se com a necessidade de conceção de uma aplicação web. A utilização
integração da segurança em todos os destes componentes faz com que a superfície
diferentes processos no projeto de de ataque da aplicação web aumente, uma vez
desenvolvimento de uma aplicação segura – que depende de componentes de software que
desde o seu planeamento até à sua instalação. foram desenvolvidos por terceiros e que
Um desenho inseguro de uma aplicação web podem conter vulnerabilidades. Assim, é
nunca poderá ser corrigido através de uma importante considerar não apenas a
implementação perfeita, pois, por definição, os segurança do código da aplicação em
controlos de segurança apropriados nunca desenvolvimento, mas igualmente de todos os
foram planeados nem desenhados para componentes dos quais depende.
garantirem uma defesa adequada contra Seguidamente, temos as “Falhas na
ataques aplicacionais específicos. Identificação e Autenticação”. Esta categoria
A próxima categoria é a “Configuração era anteriormente conhecida como “Quebra na
Insegura”. Esta categoria subiu uma posição Autenticação” e desceu de importância nesta
na lista do OWASP Top 10, ocupando o quinto lista. Passou a integrar não apenas as
lugar. Como o desenvolvimento de aplicações questões relacionadas com a autenticação,
web envolve cada vez mais a utilização de mas igualmente as que estão relacionadas
frameworks e de componentes de software de com a identificação, como mecanismos
terceiros, a configuração apropriada é um básicos da proteção e controlo de acesso a
aspeto cada vez mais crítico. O aumento do dados e outros ativos. Nesta categoria,
n ú m e ro d e c o n fi g u r a ç õ e s a u m e n t a incluem-se problemas como a fixação ou
igualmente a possibilidade da existência de roubo de sessões, a possibilidade de utilização
erros. Estas configurações inseguras podem de palavras-passe fracas, a realização de
incluir aspetos como a ativação de ataques de força bruta contra sistemas de
funcionalidades desnecessárias, a existência autenticação, assim como a ausência da
de palavras-passe definidas por defeito e a u t i l i z a ç ã o d e f a t o re s m ú l t i p l o s d e
desatualização do software ou de frameworks autenticação.
utilizadas. “Falhas na Integridade do Software e dos
Na sexta posição encontramos os Dados” é igualmente uma nova categoria do
“Componentes Desatualizados e Vulneráveis”. OWASP Top 10. A categoria anterior,
Esta categoria era conhecida como “Utilização designada por “Deserialização Insegura”, está
de Componentes com Vulnerabilidades agora integrada nesta, que está focada em
Conhecidas” na anterior versão do OWASP Top dados críticos, na integridade dos processos
10, tendo subido consideravelmente na lista. de integração e de desenvolvimento contínuo
De certa forma, esta categoria sobrepõe-se um (CI/CD) e em mecanismos de deserialização
pouco à categoria anterior, uma vez que está inseguros.
newDATAmagazine.com 19