Page 20 - newDATAmagazine | 14>06>2022
P. 20

Em suma, qualquer dado ou software em que              Esta é uma categoria completamente nova
         a integridade não seja devidamente verificada          do OWASP Top 10 e integra vulnerabilidades
         e validada faz parte desta nova categoria.            que ocorrem quando um servidor realiza um

            A categoria de “Falhas na Monitorização e          pedido  usando  um  endereço  (URL)  que  é
         Registos  de  Segurança”  designava-se                fornecido por um utilizador, sem que o mesmo
         anteriormente por “Monitorização e Registos           seja apropriadamente verificado. Desta forma,
         de Segurança Insuficientes”.                           é  possível  a  um  atacante  realizar  pedidos

            Esta categoria ganhou alguma importância           internos, efetuar análises a portos, ultrapassar
         na nova lista, tendo subido uma posição por           firewalls  ou  outros  tipos  de  controlos  de
         comparação com a versão anterior. Ataques a           acesso. Assim, é importante considerar este
         aplicações  acontecem  diariamente  e  a              risco,  prevenindo  o  desenvolvimento  de
         capacidade  de  os  registar  e  monitorizar  é       aplicações vulneráveis, que permitam que um
         crucial.  Se  estas  aplicações  não  forem           atacante  possa  tirar  proveito  das  mesmas,

         devidamente controladas e monitorizadas, as           para lançar ataques contra a organização que
         violações  de  segurança  podem  nunca  ser           as  desenvolveu  e/ou  disponibilizou.  Um
         detetadas. Estes registos de segurança devem          recente  exemplo  de  um  problema  de
         ser  legíveis  e  monitorizados  e  não  apenas       segurança  que  está  relacionado  com  esta
         armazenados. Por outro lado, estes registos e         categoria  de  riscos  em  conjunto  com  a

         processos  de  monitorização  devem  ser              “Injeção” é o Log4Shell.
         usados para alertar para possíveis problemas             O  OWASP  Top  10  aborda,  assim,  um
         de segurança e, se possível, em tempo real. De        conjunto de categorias de riscos que refletem
         igual  forma,  tais  registos  são  igualmente        as principais preocupações de segurança que
         cruciais durante as investigações a incidentes        devem ser endereçadas pelos programadores
         de segurança.                                         e  pelas  organizações  no  que  respeita  ao

            Finalmente,  temos  a  categoria  de               desenvolvimento, instalação e exploração de
         “Falsificação de Pedidos do Lado do Servidor”.         aplicações web seguras.



































     20 newDATAmagazine.com
   15   16   17   18   19   20   21   22   23   24   25