Projecto open source elabora lista das 10 maiores vulnerabilidades da Web

15 jan 2003 09:18

Este artigo tem mais de 21 anos

De forma a que entidades públicas e privadas dediquem mais atenção a problemas comuns de segurança que exigem solução imediata, o grupo open source OWASP elaborou uma lista das 10 principais vulnerabilidades relativas a serviços e aplicações da Web

O Open Web Application Security
Project (OWASP), um projecto comunitário open source com sede em Washington, D.C., nos Estados Unidos, divulgou uma lista dos 10 problemas de segurança mais perigosos relacionados com aplicações e serviços da Internet, de forma a fazer com que os governos e o sector privado tomem medidas para se protegerem a si próprios destas pequenas vulnerabilidades que exigem solução imediata.

De acordo com o documento, as falhas de segurança são "surpreendentemente comuns" e podem ser exploradas por indivíduos com poucos conhecimentos dispondo de ferramentas facilmente acessíveis. Para o OWASP, quando uma organização implementa uma aplicação Web, está a convidar todo o mundo a enviar pedidos de HTTP. Os ataques escondidos nestes pedidos "conseguem ultrapassar firewalls, filtros, sistemas de detecção de intrusões (IDSs) e o protocolo Secure Sockets Layer sem que se saiba", dado que estão contidos no seio de pedidos legais de HTTP.

Por isso, conclui o documento, o código de aplicações Web faz parte do
perímetro de segurança e não deve ser ignorado. Segundo o OWASP, a maior parte dos ataques já são conhecidos desde há décadas e estão bem
documentados. Contudo, a maioria dos projectos de desenvolvimento de software continua a efectuar os mesmos erros.

Um dos problemas indicados na lista são os parâmetros inválidos, isto é,
quando a informação de pedidos Web não é validada antes de ser empregue por uma aplicação Web. Os atacantes podem assim explorar esta falha para atacar componentes secundários através de uma aplicação Web. Outra falha refere-se à quebra do controlo de acesso, uma situação que ocorre quando as restrições que definem o que é que os utilizadores autenticados podem fazer não estão devidamente implementadas., permitindo que atacantes acedam às contas de outros utilizadores, consultem ficheiros confidenciais ou utilizem funções não autorizadas.

As restantes vulnerabilidades referem-se à falta de protecção adequada de credenciais de contas e de senhas de sessões de utilizador, à falhas de cross-site
scripting, buffer overflowns, falhas de introdução de comandos, problemas no manuseamento de erros, utilização insegura de criptografia, falhas de administração remota de sistemas e configuração incorrecta de
servidores Web e de aplicações.

Notícias Relacionadas:
2002-10-03 - Governo
norte-americano revela lista das vulnerabilidades informáticas mais
comuns
2001-10-03 - FBI
publica a lista das principais falhas de segurança informática
2000-06-07 - Os 10
buracos da Internet