A Open Web Application Security Project (OWASP) mantém um do...

The OWASP Top 10 Web Application Security Risks for 2010 are:

• A1: Injection
• A2: Cross-Site Scripting (XSS)
• A3: Broken Authentication and Session Management
• A4: Insecure Direct Object References
• A5: Cross-Site Request Forgery (CSRF)
• A6: Security Misconfiguration
• A7: Insecure Cryptographic Storage
• A8: Failure to Restrict URL Access
• A9: Insufficient Transport Layer Protection
• A10: Unvalidated Redirects and Forwards

Fonte: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Senhores segue o link para download e/ou visualização em português do guia OWASP com os 10 ataques a segurança. =]

https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf

O OWASP Top 10 lista os 10 maiores riscos ou vulnerabilidades em aplicações web. Atualmente em sua versão de 2013, visto que o documento é atualizado a cada 3 anos, seguem os riscos listados:

A1 – Injeção de código

A2 – Quebra de autenticação e Gerenciamento de Sessão

A3 – Cross-Site Scripting (XSS)

A4 – Referência Insegura e Direta a Objetos

A5 – Configuração Incorreta de Segurança

A6 – Exposição de Dados Sensíveis

A7 – Falta de Função para Controle do Nível de Acesso

A8 – Cross-Site Request Forgery (CSRF)

A9 – Utilização de Componentes Vulneráveis Conhecidos

A10 – Redirecionamentos e Encaminhamentos Inválidos

Por se tratar de aplicações web, o OWASP Top 10 não fala nada sobre o item III. Execução Maliciosa de Arquivos.

Magno Rodrigues, Security+

OWASP Paraiba - Chapter Leader
Twitter: @owasppb / @magnologan

Atualizando...

Confiram o Top10 2017, lançado em abril, em https://seginfo.com.br/2017/04/19/projeto-owasp-top-10-2017-lancamento-da-versao-apresenta-duas-novas-categorias/ 

Abs,

O OWASP Top 10 de 2017 foi:

·         Injeção de Código

·         Quebra de Autenticação

·         Exposição de Dados Sensíveis

·         Entidades Externas de XML

·         Quebra de Controle de Acesso

·         Configuração Incorreta de Segurança

·         Cross-Site Scripting (XSS)

·         Deserialização Insegura

·         Utilização de Componentes com Vulnerabilidades Conhecidas

·         Log e Monitoramento Ineficientes

Top 10 Controles Preventivos:

O OWASP Top 10 Controles Preventivos é uma lista de técnicas de segurança que devem ser incluídos em cada projeto de desenvolvimento de software. Eles são ordenados por ordem de importância, sendo o primeiro o mais importante:

§  verificar a segurança cedo e frequentemente;

§  parametrizar consultas;

§  codificar dados;

§  validar todas as entradas;

§  implementar controles de identidade e autenticação;

§  implementar controles de acesso;

§  proteger os dados;

§  implementar LOG e detecção de intrusão;

§  aproveitar as estruturas de segurança e bibliotecas;

§  manipulação de erros e exceções.