Versão PT-BR

  • View
    94

  • Download
    0

Embed Size (px)

DESCRIPTION

BR. Versão PT-BR. O. Sobre a OWASP. I. Introdução. NV. Notas da Versão. Risco. Weakness. Weakness. Weakness. Weakness. Riscos de Segurança em Aplicações. Threat Agents. Attack Vectors. Security Weaknesses. Technical Impacts. Business Impacts. Security Controls. Impact. - PowerPoint PPT Presentation

Text of Versão PT-BR

OWASP Top 10 - 2013

BRVerso PT-BRNotasEsta verso do OWASP Top 10 foi desenvolvida como parte integrante da atividade conjunta dos captulos brasileiro e portugus da OWASP, em prol da comunidade de programadores e da segurana das aplicaes desenvolvidas nos pases de lngua portuguesa.

Este documento baseado na verso OWASP Top 10 de 2013 e a traduo pretende ser fiel ao texto original.

O Projeto OWASP em Lngua Portuguesa pode ser acessado em: https://www.owasp.org/index.php/OWASP_Portuguese_Language_Project

Para saber mais sobre os eventos e atividades desenvolvidas pelos captulos brasileiro e portugus da OWASP, acesse as pginas:https://www.owasp.org/index.php/Brazilianhttps://www.owasp.org/index.php/Portuguese

ParticipantesParticiparam da traduo os lderes do Projeto OWASP em Lngua Portuguesa: Carlos Serro (Portugal)Marcio Machry (Brasil)

E os seguintes voluntrios:caro Evangelista de TorresCarlo Marcelo Revoredo da SilvaLuiz VieiraSuely Ramalho de MelloJorge OlmpiaDaniel QuintoMauro Risonho de Paula AssumpoMarcelo LopesCaio DiasRodrigo Gularte

2OSobre a OWASPCopyright e LicenaCopyright 2003 2013 The OWASP Foundation

Este documento publicado sob a licena Creative Commons Attribution ShareAlike 3.0. Para qualquer tipo de reutilizao ou distribuio, os termos deste trabalho devero ser informados.

PrefcioO software inseguro est debilitando nossa infraestrutura financeira, de sade, de defesa, de energia e outras infraestruturas crticas. medida que nossa infraestrutura digital fica cada vez mais complexa e interligada, a dificuldade em obter segurana em aplicaes aumenta exponencialmente. No podemos mais tolerar os problemas de segurana relativamente simples, como os apresentados nesta edio do OWASP Top 10.

O Top 10 tem como objetivo a sensibilizao sobre segurana em aplicaes atravs da identificao de alguns dos riscos mais crticos enfrentados pelas organizaes. O projeto Top 10 referenciado por muitas normas, livros, ferramentas e organizaes, incluindo MITRE, PCI DSS, DISA, FTC, e muitas outras. Esta verso do projeto Top 10 marca o dcimo aniversrio dessa sensibilizao. O OWASP Top 10 foi lanado inicialmente em 2003, tendo pequenas atualizaes em 2004 e em 2007. A verso de 2010 foi reformulada para priorizar por risco, no somente por prevalncia. A verso 2013 segue essa mesma abordagem.

A OWASP encoraja a utilizao do Top 10 para que as organizaes comecem com segurana em suas aplicaes. Os desenvolvedores podem aprender com os erros de outras organizaes. Os executivos devem comear a pensar em como gerenciar o risco que as aplicaes de software criam em suas empresas.

A longo prazo, encorajamos a criao de um programa de segurana em aplicaes compatvel com a cultura e tecnologia da organizao. Estes programas podem existir em qualquer tamanho e forma, e deve-se evitar seguir apenas o que um determinado modelo prescreve. Ao invs disso, deve-se aproveitar os pontos fortes da organizao para quantificar e determinar o que funciona para a mesma.

Desejamos que o OWASP Top 10 seja til em seus esforos de segurana em aplicaes. No deixe de contatar a OWASP com suas perguntas, comentrios e outras ideias, seja publicamente na owasp-topten@lists.owasp.org ou de forma privada para dave.wichers@owasp.org. Sobre a OWASPOpen Web Application Security Project (OWASP) uma comunidade aberta, dedicada a capacitar as organizaes a desenvolver, adquirir e manter aplicaes confiveis. No OWASP se pode encontrar, grtis e de forma aberta...

Normas e ferramentas de segurana em aplicaesLivros completos sobre testes de segurana, desenvolvimento de cdigo seguro e reviso de segurana de cdigo Normas e bibliotecas de controles de segurana Captulos locais do OWASP pelo mundoPesquisas ltima geraoConferncias do OWASP pelo mundoListas de discusso.Saiba mais em: https://www.owasp.org

Todos as ferramentas, documentos, fruns e captulos do OWASP so grtis e abertos a todos os interessados em aperfeioar a segurana em aplicaes. Promovemos a abordagem da segurana em aplicaes como um problema de pessoas, processos e tecnologia, porque as abordagens mais eficazes em segurana de aplicaes requerem melhorias nestas reas.

A OWASP um novo tipo de organizao. O fato de ser livre de presses comerciais permite fornecer informao de segurana de aplicaes imparcial, prtica e de custo eficiente.A OWASP no filiada a nenhuma empresa de tecnologia, apesar de apoiar o uso de tecnologia de segurana comercial. Da mesma forma que muitos projetos de software de cdigo aberto, a OWASP produz vrios tipos de materiais de maneira colaborativa e aberta.

A Fundao OWASP uma entidade sem fins lucrativos que garante o sucesso do projeto a longo prazo. Quase todos os associados OWASP so voluntrios, incluindo a Direo da OWASP, os Comits Globais, os Lderes dos Captulos, os Lderes de Projetos e os membros dos projetos. Apoiamos a pesquisa inovadora em segurana atravs de bolsas e infraestrutura. Junte-se a ns!3Bem-vindoBem-vindo ao OWASP Top 10 2013! Esta atualizao amplia uma das categorias da verso 2010 para ser mais abrangente, incluindo vulnerabilidades importantes, comuns, e reordena outras com base na mudana de dados de prevalncia. Ele tambm traz a segurana de componentes para o centro das atenes criando uma categoria especfica para este risco, tirando-o da obscuridade das letras midas do risco A6 de 2010: Configurao Incorreta de Segurana.O OWASP Top 10 para 2013 baseado em 8 conjuntos de dados de 7 empresas que se especializam em segurana de aplicaes, incluindo 4 consultorias and 3 fornecedores de ferramenta/Software as a Service (1 esttica, 1 dinmica, and 1 com ambas) . Estes dados abrangem mais de 500.000 vulnerabilidades em centenas de organizaes e milhares de aplicaes. Os itens Top 10 so selcionados e priorizados de acordo com dados de prevalncia, em combinao com estimativas do consenso da explorao, deteco e impacto.O objetivo principal do OWASP Top 10 educar desenvolvedores, projetistas, arquitetos, gestores e organizaes sobre as consequncias das mais importantes vulnerabilidades de segurana de aplicaes web. O Top 10 fornece tcnicas bsicas para se proteger contra essas reas problemticas de alto risco e tambm fornece orientao sobre onde ir a partir daqui. AvisosNo pare nos 10. Existem centenas de problemas que podem afetar a segurana geral de uma aplicao web como discutido no Guia do Desenvolvedor OWASP e na Srie de Dicas OWASP. Estas so leituras essenciais para o desenvolvimento de aplicaes web. Orientao sobre como encontrar, de forma efetiva, vulnerabilidades em aplicaes web fornecida no Guia de Testes OWASP e no Guia de Reviso de Cdigo OWASP.Mudana constante. Este Top 10 continuar sendo alterado. Mesmo sem alterar uma linha de cdigo da sua aplicao, ela poder ficar vulnervel a novas falhas que so descobertas e mtodos de ataque que so refinados. Por favor, revise a orientao no final deste documento em Prximos Passos para Desenvolvedores, Verificadores e Organizaes para maiores informaes.Pense positivo. Quando voc estiver pronto para parar de procurar vulnerabilidades e focar no estabelecimento de fortes controles de segurana nas suas aplicaes, OWASP produziu o Padro de Verificao de Segurana em Applicaes (ASVS) como um guia de verificao para as organizaes.Use ferramentas de forma inteligente. Vulnerabilidades de segurana podem ser bastante complexas e enterradas em montanhas de cdigo. Em muitos casos, a abordagem com melhor custo-benefcio para encontrar e eliminar estas vulnerabilidades envolver especialistas armados com boas ferramentas.Mude de rumo. Concentre-se em tornar a segurana parte integral da cultura de desenvolvimento da organizao. Encontre mais no Modelo Aberto de Maturidade e Garantia do Software (SAMM) and the Rugged Handbook.AgradecimentosObrigado Aspect Security por iniciar, liderar e atualizar o OWASP Top 10 desde sua concepo em 2003, e a seus autores principais: Jeff Williams and Dave Wichers.

Gostaramos de agradecer s organizaes que contriburam com seus dados de prevalncia para esta atualizao de 2013:

Aspect Security EstatsticasHP Estatsticas from both Fortify and WebInspectMinded Security EstatsticasSofttek Estatsticas Trustwave, SpiderLabs Estatsticas (See page 50)Veracode EstatsticasWhiteHat Security Inc. Estatsticas

Ns gostaramos de agradecer todos que contriburam com as verses anteriores do Top 10. Sem estas contribuies, ele no seria o que hoje. Tambm agradecemos aqueles que contriburam com comentrios e tempo revisando esta atualizao:Adam Baso (Wikimedia Foundation)Mike Boberski (Booz Allen Hamilton)Torsten GiglerNeil Smithline (MorphoTrust USA) Pela produo da verso wiki do Top 10, e fornecendo feedback

E finalmente, agradecemos antecipadamente todos os tradutores que iro traduzir esta verso do Top 10 em inmeras linguagens diferentes, ajudando a torn-lo mais acessvel no planeta inteiro.IIntroduo

4O que mudou de 2010 para 2013?O cenrio de ameaas para a segurana das aplicaes muda constantemente. Os principais fatores dessa evoluo so os avanos feitos pelos atacantes, o lanamento de novas tecnologias com novas vulnerabilidade, bem como a maior incorporao de defesas, e a implantao de sistemas cada vez mais complexos. Para acompanhar esta evoluo, ns atualizamos periodicamente o OWASP Top 10. Nesta verso de 2013, fizemos as seguintes alteraes:

Quebra de Autenticao e Gerenciamento de Sesso aumentou sua prevalncia em nossa base de dados. Acreditamos que isto provavelmente ocorreu porque esta rea est sendo analisada rigorosamente, e no porque mais predominante. Isso resultou na troca de posies entre os Riscos A2 e A3.

Cross-Site Request Forgery (CSRF) reduziu sua prevalncia em nossa base de dados de 2010-A5 para 2013-A8. Acreditamos que a causa seja o fato do CSRF permanecer no OWASP Top 10 por 6 anos, e as organizaes e os frameworks de desenvolvimento concentraram-se em