A segurança de aplicações web continua sendo uma prioridade crítica para empresas que lidam com dados sensíveis e sistemas conectados. Para orientar organizações, desenvolvedores e profissionais de segurança, a OWASP (Open Web Application Security Project) atualizou o OWASP Top 10 em 2025, uma lista das vulnerabilidades mais relevantes que afetam aplicações web modernas.
Nesta nova edição, duas categorias inéditas foram introduzidas, uma foi expandida e algumas renomeadas para refletir melhor as ameaças atuais. Neste artigo, exploramos cada vulnerabilidade do Top 10 de 2025 e como mitigá-las para proteger sua aplicação.
OWASP Top 10:2025
1. Controle de Acesso Quebrado (Broken Access Control)
Essa vulnerabilidade ocorre quando usuários conseguem acessar recursos ou executar ações fora de seu perfil de permissões. Isso inclui acessar dados de outros usuários, modificar registros sem autorização ou realizar ações administrativas indevidas. A falha pode acontecer por má configuração de rotas, endpoints expostos ou validações inconsistentes.
Exemplo: Um cliente consegue acessar a conta de outro apenas trocando o ID na URL.
Mitigação: Implementar validações de acesso no lado servidor, aplicar o princípio do menor privilégio e realizar testes contínuos de autorização.
2. Configuração de Segurança Inadequada (Security Misconfiguration)
Refere-se a erros de configuração em servidores, aplicações, containers, frameworks ou permissões mal definidas. É uma das falhas mais comuns e pode deixar sistemas completamente expostos.
Exemplo: Um painel de administração deixado aberto na internet sem autenticação.
Mitigação: Automatizar a revisão de configurações, aplicar hardening em servidores e utilizar ferramentas de segurança como Infrastructure as Code (IaC) com validações.
3. Falhas na Cadeia de Suprimentos de Software (Software Supply Chain Failures)
Essa nova categoria amplia o foco para ameaças que ocorrem em bibliotecas externas, repositórios, pipelines de CI/CD ou artefatos de software manipulados por terceiros. A confiança excessiva em dependências externas sem validação pode comprometer toda a aplicação.
Exemplo: Um pacote NPM comprometido com código malicioso que coleta dados do usuário.
Mitigação: Validar integridade de pacotes com hashes/assinaturas, utilizar repositórios confiáveis, revisar dependências e aplicar controle de versão com alertas de vulnerabilidade.
4. Falhas Criptográficas (Cryptographic Failures)+
Envolve o uso incorreto, inexistente ou inseguro de mecanismos criptográficos, como algoritmos fracos, ausência de criptografia em dados sensíveis ou má gestão de chaves.
Exemplo: Armazenamento de senhas sem criptografia ou com MD5/SHA1.
Mitigação: Usar algoritmos modernos (como SHA-256, AES, TLS 1.3), aplicar salting em senhas e proteger as chaves com HSMs ou cofres seguros.
5. Injeção (Injection)
Continua sendo uma das falhas mais exploradas. Envolve a inserção de comandos maliciosos em entradas que são processadas por interpretadores, como SQL, NoSQL, comandos de sistema, LDAP, entre outros.
Exemplo: Um campo de login vulnerável que permite execução de comandos SQL, acessando ou deletando dados.
Mitigação: Usar consultas parametrizadas (prepared statements), validar e sanitizar entradas e aplicar WAFs quando aplicável.
6. Design Inseguro (Insecure Design)
Diferente de falhas na implementação, trata-se de vulnerabilidades que surgem desde a concepção da aplicação, quando não se considera segurança no desenho de fluxos, lógicas e funcionalidades.
Exemplo: Um sistema de autenticação que não exige verificação por e-mail em alterações críticas.
Mitigação: Incorporar segurança desde a fase de requisitos, realizar threat modeling e validar casos de uso adversos.
7. Falhas de Autenticação (Authentication Failures)
Inclui erros em mecanismos de login, gestão de sessões, recuperação de senhas e verificação de identidade. A exploração pode permitir acesso não autorizado e comprometimento de contas.
Exemplo: Login sem limitação de tentativas, permitindo ataques de força bruta.
Mitigação: Adotar autenticação multifator (MFA), limitar tentativas, proteger sessões com tokens seguros e usar bibliotecas consagradas.
8. Falhas de Integridade de Software ou Dados (Software or Data Integrity Failures)
Essa categoria envolve falhas ao garantir que softwares e dados não foram manipulados indevidamente. Isso inclui builds comprometidos, atualizações inseguras e dados alterados no trânsito sem validação.
Exemplo: Um sistema que atualiza automaticamente scripts JavaScript de um CDN sem validação.
Mitigação: Assinar pacotes, validar integridade de arquivos (checksums), aplicar controle de versão e monitorar alterações suspeitas.
9. Falhas de Log e Alertas (Logging & Alerting Failures)
Erros em registrar eventos de segurança ou em gerar alertas relevantes podem impedir a detecção de incidentes em tempo hábil. Logs sem contexto ou alertas ausentes dificultam respostas rápidas.
Exemplo: Falha de login maliciosa não registrada ou não alertada ao time de segurança.
Mitigação: Implementar SIEMs, registrar eventos críticos com contexto e configurar alertas em tempo real para anomalias.
10. Tratamento Inadequado de Condições Excepcionais (Mishandling of Exceptional Conditions)
Nova categoria que cobre falhas no tratamento de erros, exceções e situações inesperadas, como erros de lógica, falhas “fail-open” e mensagens de erro reveladoras.
Exemplo: Exibição de stack trace completo ao usuário em caso de erro inesperado.
Mitigação: Tratar exceções de forma segura, ocultar mensagens internas e implementar lógicas de fallback controladas.
Conclusão
O OWASP Top 10 de 2025 reforça que a cibersegurança deve ser tratada como parte essencial desde o ciclo de desenvolvimento. A HackerSec é referência em cibersegurança ofensiva e pioneira no modelo de Pentest Contínuo no Brasil, antecipando uma tendência que hoje se consolida entre grandes corporações.
Conheça nossos serviços: https://hackersec.com/empresas/