Page 20 - newDATAmagazine | 14>06>2022
P. 20
Em suma, qualquer dado ou software em que Esta é uma categoria completamente nova
a integridade não seja devidamente verificada do OWASP Top 10 e integra vulnerabilidades
e validada faz parte desta nova categoria. que ocorrem quando um servidor realiza um
A categoria de “Falhas na Monitorização e pedido usando um endereço (URL) que é
Registos de Segurança” designava-se fornecido por um utilizador, sem que o mesmo
anteriormente por “Monitorização e Registos seja apropriadamente verificado. Desta forma,
de Segurança Insuficientes”. é possível a um atacante realizar pedidos
Esta categoria ganhou alguma importância internos, efetuar análises a portos, ultrapassar
na nova lista, tendo subido uma posição por firewalls ou outros tipos de controlos de
comparação com a versão anterior. Ataques a acesso. Assim, é importante considerar este
aplicações acontecem diariamente e a risco, prevenindo o desenvolvimento de
capacidade de os registar e monitorizar é aplicações vulneráveis, que permitam que um
crucial. Se estas aplicações não forem atacante possa tirar proveito das mesmas,
devidamente controladas e monitorizadas, as para lançar ataques contra a organização que
violações de segurança podem nunca ser as desenvolveu e/ou disponibilizou. Um
detetadas. Estes registos de segurança devem recente exemplo de um problema de
ser legíveis e monitorizados e não apenas segurança que está relacionado com esta
armazenados. Por outro lado, estes registos e categoria de riscos em conjunto com a
processos de monitorização devem ser “Injeção” é o Log4Shell.
usados para alertar para possíveis problemas O OWASP Top 10 aborda, assim, um
de segurança e, se possível, em tempo real. De conjunto de categorias de riscos que refletem
igual forma, tais registos são igualmente as principais preocupações de segurança que
cruciais durante as investigações a incidentes devem ser endereçadas pelos programadores
de segurança. e pelas organizações no que respeita ao
Finalmente, temos a categoria de desenvolvimento, instalação e exploração de
“Falsificação de Pedidos do Lado do Servidor”. aplicações web seguras.
20 newDATAmagazine.com