Aula 5 | Projeto OWASP

Projeto OWASP

O que é OWASP?

O OWASP (Open Web Application Security Project) é uma organização internacional sem fins lucrativos dedicada à segurança de aplicações web. Um dos princípios fundamentais do OWASP é que todos os seus materiais estejam disponíveis gratuitamente e facilmente acessíveis em seu site, tornando possível para qualquer pessoa melhorar a segurança de seus próprios aplicativos web. Os materiais oferecidos incluem documentação, ferramentas, vídeos e fóruns.

Principais Projetos do OWASP

OWASP Top 10

O OWASP Top 10 é um relatório atualizado regularmente que resume as questões de segurança de aplicativos web mais críticas. O relatório é elaborado por uma equipe de especialistas em segurança mundial e serve como um documento de conscientização, recomendando que todas as empresas incorporem o relatório em seus processos para minimizar e/ou mitigar os riscos de segurança.

OWASP Top 10 de 2021

As principais falhas de segurança encontradas em 2021 foram:

  1. Quebra de Controle de Acesso: Subiu da quinta posição e é a categoria com o maior risco de segurança de aplicativos web.

  2. Falhas Criptográficas: Anteriormente conhecida como Exposição de Dados Sensíveis, agora foca em falhas relacionadas à criptografia.

  3. Injeção: Inclui falhas como SQL Injection e Cross-site Scripting (XSS).

  4. Design Inseguro: Nova categoria para 2021, focada em falhas de projeto.

  5. Configuração Insegura: Subiu para a sexta posição, comumente encontrada em software altamente configurável.

  6. Componentes Desatualizados e Vulneráveis: Anteriormente intitulada "Usar componente com vulnerabilidade conhecida".

  7. Falha de Identificação e Autenticação: Anteriormente conhecida como Falha de Autenticação.

OWASP ZAP Proxy

O OWASP ZAP (Zed Attack Proxy) é uma das ferramentas de segurança de aplicativos web mais amplamente utilizadas no mundo. É gratuita e de código aberto, desenvolvida pela comunidade. O ZAP é usado para encontrar vulnerabilidades em aplicações web e pode ser utilizado tanto por iniciantes quanto por profissionais experientes em segurança.

OWASP Juice Shop

O OWASP Juice Shop é uma aplicação web intencionalmente insegura, usada para treinamento em segurança, demonstrações de conscientização, competições de Capture The Flag (CTF) e como cobaia para ferramentas de segurança. A Juice Shop abrange vulnerabilidades do OWASP Top 10 e muitas outras falhas de segurança encontradas em aplicações reais.