OWASP Top 10 2025 traz novas categorias

O OWASP divulgou uma versão revisada de sua tradicional lista Top 10 dos riscos mais críticos para aplicações web, trazendo duas novas categorias e alterações na ordem dos riscos. Esta versão candidate de 2025 está aberta para comentários até 20 de novembro.

Principais mudanças no OWASP Top 10 2025

Broken Access Control permanece como o risco principal, agora absorvendo o SSRF (Server-Side Request Forgery), que antes era listado separadamente.
Security Misconfiguration subiu para a segunda posição, refletindo a crescente preocupação com erros de configuração, ultrapassando falhas tradicionais de autenticação e criptografia.
Software Supply Chain Failures foi incluída como categoria expandida, substituindo “Vulnerable and Outdated Components”. Agora engloba riscos em toda a cadeia de dependências, sistemas de build e distribuição de software, destacando a relevância dos ataques à cadeia de suprimentos.
Mishandling of Exceptional Conditions é uma das novas categorias, ocupando o décimo lugar. Abrange falhas relacionadas a tratamento incorreto de condições excepcionais, como fail open, erros lógicos e manipulação inadequada de falhas.

Reordenação de categorias clássicas

Categorias como Cryptographic Failures, Injection (XSS e SQLi) e Insecure Design caíram duas posições, mostrando que as ameaças evoluem de acordo com o cenário e as percepções da comunidade de segurança.

Metodologia revisada

Nesta edição, o OWASP utilizou dados de 589 CWEs, ampliando a análise em relação às edições anteriores. Foram consideradas somente instâncias por aplicação, e não a frequência dos CWEs, para entender melhor a prevalência dos riscos.

O grupo também considerou dados de CVEs para calcular impactabilidade e explotabilidade técnicas, usando escores médios de CVSS em relação aos CWEs. Das dez categorias, oito vieram da análise de dados e duas da votação dos profissionais na pesquisa Top 10 Community Survey.

Importância para equipes de desenvolvimento

O OWASP Top 10 é referência global e a inclusão dessas novas categorias reforça a necessidade de lidar não apenas com falhas explícitas, mas também com riscos sistêmicos e operacionais cada vez mais explorados em ambientes modernos de desenvolvimento.

Fonte: CISO ADVISOR

OWASP Top 10 2025 traz novas categorias

Principais mudanças no OWASP Top 10 2025

Reordenação de categorias clássicas

Metodologia revisada

Importância para equipes de desenvolvimento

TikTok Shop Usa IA e Lives para Entrar no Luxo Usado e Disputar a Liderança do Recommerce Global

Trump barra acordo de chips e cita riscos à segurança nacional e ligações com a China

Ataque via whatsapp espalha Trojan bancário Astaroth em todo o Brasil

TikTok Shop Usa IA e Lives para Entrar no Luxo Usado e Disputar a Liderança do Recommerce Global

Trump barra acordo de chips e cita riscos à segurança nacional e ligações com a China

Neuralink planeja produção em larga escala de implantes cerebrais até 2026, afirma Elon Musk

Razer Lança treinador de e-sports IA com holograma de mesa

Últimas Noticias

TikTok Shop Usa IA e Lives para Entrar no Luxo Usado e Disputar a Liderança do Recommerce Global

UFPB lança chamada interna para seleção de subprojetos do Proinfra 2025 Expansão

Trump barra acordo de chips e cita riscos à segurança nacional e ligações com a China

OWASP Top 10 2025 traz novas categorias

Principais mudanças no OWASP Top 10 2025

Reordenação de categorias clássicas

Metodologia revisada

Importância para equipes de desenvolvimento

Notícias relacionadas