O OWASP Top 10 é a referência mais utilizada para identificar as vulnerabilidades mais críticas em aplicações web. Neste artigo, exploramos cada categoria com exemplos práticos.
A01, Broken Access Control
O controlo de acessos deficiente subiu para o topo da lista. Permite que atacantes acedam a funcionalidades ou dados sem autorização.
# Exemplo de IDOR (Insecure Direct Object Reference)
GET /api/users/1337/profile
# Se o servidor não verificar se o utilizador autenticado
# tem permissão para aceder ao perfil #1337, existe IDOR
A02, Cryptographic Failures
Exposição de dados sensíveis por uso incorreto ou ausência de criptografia.
- Dados em trânsito sem TLS
- Hashing de passwords com MD5 ou SHA1
- Chaves hardcoded no código fonte
A03, Injection
SQL Injection continua a ser uma das vulnerabilidades mais críticas e exploráveis.
-- Payload clássico de SQLi
' OR '1'='1
' UNION SELECT username, password FROM users--
Como Proteger a sua Aplicação
- Validação de input em todas as entradas de dados
- Prepared statements para queries à base de dados
- Princípio do menor privilégio em contas de serviço
- Testes regulares com pentest e DAST automatizado
Este artigo é de carácter educativo. Todas as técnicas descritas devem ser aplicadas apenas em ambientes autorizados.



