CyberS3c, Cybersecurity Artisans
Pentest

Introdução ao Pentest Web, OWASP Top 10 em 2024

Equipa CyberS3c 1 min de leitura

O OWASP Top 10 é a referência mais utilizada para identificar as vulnerabilidades mais críticas em aplicações web. Neste artigo, exploramos cada categoria com exemplos práticos.

A01, Broken Access Control

O controlo de acessos deficiente subiu para o topo da lista. Permite que atacantes acedam a funcionalidades ou dados sem autorização.

# Exemplo de IDOR (Insecure Direct Object Reference)
GET /api/users/1337/profile
# Se o servidor não verificar se o utilizador autenticado
# tem permissão para aceder ao perfil #1337, existe IDOR

A02, Cryptographic Failures

Exposição de dados sensíveis por uso incorreto ou ausência de criptografia.

  • Dados em trânsito sem TLS
  • Hashing de passwords com MD5 ou SHA1
  • Chaves hardcoded no código fonte

A03, Injection

SQL Injection continua a ser uma das vulnerabilidades mais críticas e exploráveis.

-- Payload clássico de SQLi
' OR '1'='1
' UNION SELECT username, password FROM users--

Como Proteger a sua Aplicação

  1. Validação de input em todas as entradas de dados
  2. Prepared statements para queries à base de dados
  3. Princípio do menor privilégio em contas de serviço
  4. Testes regulares com pentest e DAST automatizado

Este artigo é de carácter educativo. Todas as técnicas descritas devem ser aplicadas apenas em ambientes autorizados.

Tags:

Partilhar: