Close Menu
    PODCAST

    OWASP Top 10 2025 traz novas categorias

    Destaques Redação SantotechPor 2 minutos de leitura
    OWASP TOP TEN 2025
    ads

    O OWASP divulgou uma versão revisada de sua tradicional lista Top 10 dos riscos mais críticos para aplicações web, trazendo duas novas categorias e alterações na ordem dos riscos. Esta versão candidate de 2025 está aberta para comentários até 20 de novembro.

    Principais mudanças no OWASP Top 10 2025

    • Broken Access Control permanece como o risco principal, agora absorvendo o SSRF (Server-Side Request Forgery), que antes era listado separadamente.
    • Security Misconfiguration subiu para a segunda posição, refletindo a crescente preocupação com erros de configuração, ultrapassando falhas tradicionais de autenticação e criptografia.
    • Software Supply Chain Failures foi incluída como categoria expandida, substituindo “Vulnerable and Outdated Components”. Agora engloba riscos em toda a cadeia de dependências, sistemas de build e distribuição de software, destacando a relevância dos ataques à cadeia de suprimentos.
    • Mishandling of Exceptional Conditions é uma das novas categorias, ocupando o décimo lugar. Abrange falhas relacionadas a tratamento incorreto de condições excepcionais, como fail open, erros lógicos e manipulação inadequada de falhas.
    image

    Reordenação de categorias clássicas

    Categorias como Cryptographic FailuresInjection (XSS e SQLi) e Insecure Design caíram duas posições, mostrando que as ameaças evoluem de acordo com o cenário e as percepções da comunidade de segurança.

    Metodologia revisada

    Nesta edição, o OWASP utilizou dados de 589 CWEs, ampliando a análise em relação às edições anteriores. Foram consideradas somente instâncias por aplicação, e não a frequência dos CWEs, para entender melhor a prevalência dos riscos.

    O grupo também considerou dados de CVEs para calcular impactabilidade e explotabilidade técnicas, usando escores médios de CVSS em relação aos CWEs. Das dez categorias, oito vieram da análise de dados e duas da votação dos profissionais na pesquisa Top 10 Community Survey.

    Importância para equipes de desenvolvimento

    O OWASP Top 10 é referência global e a inclusão dessas novas categorias reforça a necessidade de lidar não apenas com falhas explícitas, mas também com riscos sistêmicos e operacionais cada vez mais explorados em ambientes modernos de desenvolvimento.

    Fonte: CISO ADVISOR

    Link para o canal de noticias no whatsappp

    Compartilhar.

    ads

    Notícias relacionadas