iBLISS é a única empresa brasileira a contribuir para versão 2017 do OWASP Top 10
A iBLISS Digital Security foi a única organização brasileira que contribuiu para a nova versão do Top 10 do Open Web Application Security Project (OWASP), documento atualizado de tempos em tempos para destacar as dez principais vulnerabilidades de segurança em aplicações web.
O OWASP Top 10 é um poderoso documento de conscientização que reflete um amplo consenso dos riscos de segurança mais críticos para as aplicações web. O OWASP conta com uma grande variedade de especialistas em segurança de todo o mundo que compartilham sua expertise para produzir o documento.
A edição 2017 do Top 10 foi baseada em 11 grandes conjuntos de dados de empresas especializadas em aplicações de segurança, incluindo três fornecedores de produtos e oito empresas de consultoria. Os dados revelam vulnerabilidades de segurança encontradas em centenas de empresas e mais de 20 mil aplicações e APIs do mundo.
A iBLISS contribuiu com o envio de dados anônimos do último ano de vulnerabilidades encontradas no ambiente de dezenas de empresas brasileiras, os quais foram selecionados e priorizados em combinação com estimativas de consenso dos especialistas do OWASP em termos de exploração, detecção e impacto para o negócio.
Um dos principais objetivos do OWASP Top 10 é educar desenvolvedores, designers, arquitetos, gestores e organizações sobre as consequências das principais vulnerabilidades em aplicações web. O documento traz ainda técnicas básicas para lidar com os riscos.
“Acreditamos na importância de documentos como o OWASP Top 10, especialmente por seu poder de conscientização em relação aos principais riscos de segurança e por sua capacidade de guiar as empresas para que possam se proteger de ciberataques. Por isso, estamos muito satisfeitos por termos contribuído para a elaboração da edição 2017 deste documento, que é referência em termos de segurança de aplicações”, afirma o CEO da iBLISS, Leonardo Militelli.
Principais resultados do OWASP Top 10 2017
Entre as vulnerabilidades de aplicação web apontadas pela empresa, destacam-se as falhas de segurança de injeção, erros de gestão de sessão e autenticação e cross-scripting, que ocupam as três primeiras posições no ranking na OWASP.
Uma das maiores novidades do relatório deste ano é a criação de duas novas categorias pela primeira vez desde que o material começou a ser produzido, em 2003: prevenção e detecção insuficiente de ataques e APIs pouco protegidas, que ocuparam o sétimo e o décimo lugar no ranking, respectivamente.
Outra novidade foi a junção de duas categorias – Falta de controle de acesso no nível de função e Referências imediatas do objeto direto -, que passaram a mostrar, em uma única categoria, os erros no controle de acesso, que aparecem em quarto lugar no ranking.