top of page
branco

Consultoria de Segurança da Informação

branco

Consultoria de Segurança da Informação

Home
Serviços
Sobre

Linkedin

Av Paulista, 1634

são paulo | madrid

contato@anzemis.com

OWASP Top 10 2025 - Uma breve análise sobre o ranking de vulnerabilidades

  • gustavokoketsu
  • Nov 12
  • 2 min read

OWASP Top 10

Recentemente foi divulgada a versão candidata à publicação do OWASP Top 10 2025, que atualiza o ranking de vulnerabilidades publicado em 2021. Nessa versão provisória é possível ter uma ideia do caminho que a segurança de aplicações vem tomando.

A OWASP (Open Worldwide Application Security Project) — uma comunidade global sem fins lucrativos dedicada a melhorar a segurança de software, especialmente aplicações web e APIs — realiza a cada quatro anos um estudo que aponta as principais vulnerabilidades com base em uma análise de vulnerabilidades e exposições comuns (CVE), levando em conta sua pontuação de risco (CVSS) e também as causas subjacentes (CWE). Chega-se assim à seguinte relação:


  • A01 — Broken Access Control (Falha no controle de acesso)

  • A02 — Security Misconfiguration (Má configuração de segurança)

  • A03 — Software Supply Chain Failures (Falhas na cadeia de suprimentos de software)

  • A04 — Cryptographic Failures (Falhas criptográficas)

  • A05 — Injection (Injeção)

  • A06 — Insecure Design (Design inseguro)

  • A07 — Authentication Failures (Falhas de autenticação)

  • A08 — Software or Data Integrity Failures (Falhas de integridade de software ou dados)

  • A09 — Logging and Alerting Failures (Falhas de registro e alerta)

  • A10 — Mishandling of Exceptional Conditions (Manuseio incorreto de condições excepcionais)


Em geral, muitas vulnerabilidades se mantiveram presentes ao longo das edições, embora algumas tenham sido renomeadas ou ampliadas. Por exemplo, o SSRF (Server-Side Request Forgery), que ocupava a décima posição em edições anteriores, foi incorporado ao escopo de “Manuseio incorreto de condições excepcionais” — mantendo-se na décima posição, mas com um escopo mais amplo. A falha no controle de acesso permanece em primeiro lugar. Já a má configuração de segurança subiu da quinta para a segunda posição, e as falhas na cadeia de suprimentos de software subiram da sexta para a terceira; ambas refletem o desenvolvimento acelerado de ambientes em nuvem e a consequente negligência em relação a configurações seguras e gestão de ferramentas.

A OWASP também divulgou, em março deste ano, um Top 10 específico dedicado a aplicações de IA/LLMs. A crescente adoção de recursos de IA nas aplicações exige atenção especial para vulnerabilidades clássicas aplicadas a esse contexto — em particular as de injeção. A categoria Injection caiu da terceira para a quinta posição na edição mais recente, mas pode voltar a subir nas próximas edições devido a vetores de ataque direcionados à IA, como o prompt injection. Diferentemente das injeções tradicionais (que exploram inputs para manipular código ou consultas), o prompt injection explora a própria conversação com o modelo de IA para induzi-lo a executar ações não desejadas ou a divulgar informações sensíveis.



bottom of page