Skip links
Vagas

Estamos contratando - Faça parte da nossa equipe 👋

Saiba mais
Instagram Linkedin Spotify Soundcloud Youtube Itunes-note Deezer
Ouça o RedCast
Fale conosco
Redbelt Security

Vulnerabilidades web mais comuns em 2025 – segundo o OWASP Top 10

Author
Published on:
Published in: Blog

A segurança de aplicações web evoluiu junto com o próprio modelo de desenvolvimento. Hoje, falhas não estão restritas ao código. Também afetam dependências de terceiros, pipelines de CI/CD e ambientes cloud-native cada vez mais complexos. Esse cenário amplia a superfície de ataque e torna as vulnerabilidades web um dos principais vetores para incidentes de alto impacto.

Este artigo atualiza nosso material de 2024 com base no OWASP Top 10: 2025 (Release Candidate), destacando como as mudanças no cenário de ameaças vêm redefinindo as prioridades de segurança em aplicações web.

O que mudou no OWASP Top 10:2025

O OWASP Top 10:2025 trouxe mudanças importantes:

  • Novas categorias: software Supply Chain Failures (A03) e Mishandling of Exceptional Conditions (A10).
  • Security Misconfiguration subiu da 5ª para a 2ª posição, refletindo a complexidade dos ambientes cloud.
  • Injection caiu para 5ª posição, resultado de melhorias em frameworks modernos.
  • SSRF foi incorporado ao Broken Access Control.


Antes, o que é OWASP

A OWASP (Open Web Application Security Project) é uma organização sem fins lucrativos dedicada à listagem e análise de vulnerabilidades exploradas com frequência em aplicações web. Em novembro de 2025, foi lançado o OWASP Top 10:2025 Release Candidate.

A seguir, apresentamos as vulnerabilidades mais críticas documentadas.

A01:2025 – Broken Access Control

Posição: mantém-se em 1º lugar.

O Broken Access Control continua sendo o risco mais crítico em aplicações web. Esta vulnerabilidade ocorre quando usuários conseguem acessar informações ou realizar ações para as quais não têm permissão. Em 2025, a categoria incorporou também vulnerabilidades de SSRF (Server-Side Request Forgery).

Atacantes exploram por:

  • Manipulação de tokens de sessão
  • Bypass de verificações de permissão
  • Escalação de privilégios
  • Acesso direto a recursos através de modificação de URLs

Medidas de segurança recomendadas

  • Implementar controles de acesso no backend (nunca confiar apenas no frontend)
  • Aplicar o princípio do menor privilégio
  • Mapear permissões de forma segmentada por tipo de usuário
  • Gerar tokens de sessão de forma segura e imprevisível

A02:2025 – Security Misconfiguration

Posição: subiu da 5ª para a 2ª posição.

Esta vulnerabilidade teve um salto expressivo refletindo a crescente complexidade de ambientes cloud-native, Kubernetes, containers e IaC (Infrastructure as Code). Um único bucket S3 mal configurado ou credenciais padrão não alteradas podem comprometer todo o ambiente.

Exemplos comuns de falha são:

  • Listagem de diretórios habilitada
  • Credenciais padrão não alteradas
  • Mensagens de erro detalhadas expostas
  • Configurações inseguras em Kubernetes/Docker
  • Políticas IAM/RBAC excessivamente permissivas

Algumas medidas de segurança para evitar riscos são:

  • Hardening de Infrastructure as Code (Terraform, Helm charts, Dockerfiles)
  • Desabilitar listagem de diretórios em servidores web
  • Aplicar princípio do menor privilégio em todas as configurações
  • Manter ambientes fortificados com verificações constantes
  • Aplicar atualizações de segurança regularmente

A03:2025 – Software Supply Chain Failures (Nova categoria)

Posição: nova categoria, em 3º lugar.

Esta é uma das principais novidades de 2025, reconhecendo que ataques à cadeia de suprimento tornaram-se uma das maiores ameaças. Casos recentes incluem o ataque ao SafeWallet/Bybit (US$ 1,5 bilhão roubados), backdoor no XZ Utils e o ataque GlassWorm ao VS Code Marketplace.

Os principais vetores de ataque são:

  • Dependências comprometidas (npm, PyPI, Maven);
  • Sistemas de CI/CD vulneráveis;
  • Extensões maliciosas de IDE;
  • Registries de pacotes comprometidos;
  • Infraestrutura de build atacada;

Medidas de segurança recomendadas:

  • Manter Software Bill of Materials (SBOM) atualizado;
  • Verificar assinaturas digitais e checksums de todos os pacotes;
  • Monitorar vulnerabilidades (CVE, NVD) com ferramentas de SCA;
  • Obter componentes apenas de fontes confiáveis;
  • Implementar hardening de pipelines CI/CD;
  • Aplicar MFA e princípio do menor privilégio em máquinas de desenvolvedores;
  • Considerar patches virtuais quando atualização não for possível.

Casos reais de ‘Software Supply Chain Failures’ em 2025

Ataque Bybit/SafeWallet: roubo de US$ 1,5 bilhão através de malware inserido no software de carteira que permanecia dormente até detectar carteiras-alvo específicas.

Backdoor XZ Utils: esforço sofisticado de anos para injetar backdoor em biblioteca amplamente utilizada como dependência do SSH em distribuições Linux.

Ataque GlassWorm: código malicioso auto-replicante em extensões do VS Code que coletava segredos, estabelecia comando e controle, e esvaziava carteiras de criptomoedas.

A04:2025 – Cryptographic Failures

Posição: 4º lugar.

Ocorre quando dados sensíveis são transmitidos, armazenados ou processados sem criptografia adequada, ou quando algoritmos fracos/obsoletos são utilizados.

Falhas comuns:

  • Transmissão em texto claro (HTTP em vez de HTTPS)
  • Uso de algoritmos obsoletos (MD5, SHA-1, DES)
  • Má gestão de chaves criptográficas
  • Ausência de criptografia de dados em repouso
  • Validação inadequada de certificados

Medidas de segurança recomendadas:

  • Utilizar apenas HTTPS/TLS 1.3 para todas as comunicações
  • Implementar algoritmos modernos (AES-256, RSA-2048+)
  • Usar HSM ou serviços gerenciados para gestão de chaves
  • Criptografar dados sensíveis em repouso
  • Desabilitar caching de respostas com dados sensíveis

A05:2025 – Injection

Posição: Caiu da 3ª para 5ª posição.

Embora tenha caído no ranking devido a melhorias em frameworks modernos, Injection (SQL, XSS, Command Injection) continua sendo uma ameaça crítica quando explorada.

SQL Injection

Permite que atacantes manipulem consultas ao banco de dados através de inputs maliciosos, possibilitando:

  • Extração de dados sensíveis,
  • Manipulação de registros,
  • Bypass de autenticação,
  • Ataques de negação de serviço,

Medidas de segurança:

  • Usar Prepared Statements (parametrização)
  • Implementar validação rigorosa de entrada
  • Aplicar princípio do menor privilégio no banco de dados
  • Utilizar WAF (Web Application Firewall)

Cross-Site Scripting (XSS)

Permite execução de JavaScript malicioso no navegador de usuários legítimos.

Tipos de XSS:

  • Reflected XSS: Script executado através de URL maliciosa
  • Stored XSS: Código malicioso armazenado no banco (ex: comentários)
  • DOM-based XSS: Manipulação insegura do DOM pelo cliente

Medidas de segurança:

  • Validar e sanitizar todos os inputs
  • Encodar outputs antes de renderizar
  • Implementar Content Security Policy (CSP)
  • Utilizar flags HttpOnly, Secure e SameSite em cookies

A06:2025 – Insecure Design

Posição: 6º lugar.

Representa falhas fundamentais na arquitetura e design da aplicação que não podem ser corrigidas apenas com boa implementação.

Características da falha:

  • Ausência de modelagem de ameaças,
  • Falta de análise de risco nas funcionalidades,
  • Padrões de design inseguros implementados intencionalmente,
  • Ausência de segregação adequada de ambientes.

Medidas de segurança:

  • Implementar Threat Modeling em todas as fases
  • Utilizar padrões de design seguros estabelecidos
  • Adotar Security by Design desde o início
  • Realizar análise de risco para funcionalidades críticas

A07:2025 – Authentication Failures

Posição: 7º lugar.

Falhas na implementação de funções de autenticação permitem que atacantes comprometam credenciais ou assumam identidades de outros usuários.

Vulnerabilidades comuns

  • Permissão de ataques de força bruta,
  • Senhas padrão ou fracas permitidas,
  • Processos de recuperação de senha inseguros,
  • Ausência de MFA,
  • IDs de sessão expostos na URL,
  • Sessões não invalidadas após logout.

Medidas de segurança

  • Implementar Multi-Factor Authentication (MFA)
  • Exigir políticas de senha robustas
  • Aplicar rate limiting em tentativas de login
  • Gerar IDs de sessão aleatórios e seguros
  • Implementar timeout e invalidação adequada de sessões

A08:2025 – Software and Data Integrity Failures

Posição: 8º lugar.

Ocorre quando código e infraestrutura não protegem contra violações de integridade, incluindo atualizações não verificadas e deserialização insegura.

Medidas de segurança

  • Verificar assinaturas digitais de atualizações
  • Implementar checksums e hash verification
  • Proteger pipelines CI/CD com segregação de funções
  • Evitar deserialização de dados não confiáveis

A09:2025 – Security Logging and Alerting Failures

Posição: 9º lugar.

Eventos de segurança não adequadamente registrados, monitorados ou alertados permitem que ataques passem despercebidos.

Medidas de segurança

  • Registrar todos os eventos de segurança relevantes
  • Utilizar formato padronizado para integração com SIEM
  • Implementar armazenamento centralizado e protegido de logs
  • Configurar alertas em tempo real para atividades suspeitas
  • Garantir retenção adequada para investigações

A10:2025 – Mishandling of Exceptional Conditions (Nova categoria)

Posição: Nova categoria, em 10º lugar.

Esta nova categoria aborda como sistemas se comportam sob condições anormais, erros ou inputs inesperados, englobando 24 CWEs relacionados ao tratamento inadequado de erros.

Tipos de falhas

  • Fail Open: Sistema permite acesso quando verificação de segurança falha
  • Exposição de Informações: Stack traces e mensagens de erro detalhadas expostas
  • Liberação Inadequada de Recursos: Recursos não liberados quando erros ocorrem
  • Tratamento Inconsistente: Algumas exceções capturadas, outras não

Cenários de ataque

Exaustão de recursos (DoS): aplicação não libera recursos após exceções, causando bloqueio gradual até negação de serviço.

Exposição via Erros de BD: mensagens de erro completas revelam estrutura do banco, facilitando SQL injection.

Fail-Open em autenticação: durante alta carga, timeout no banco causa falha na verificação de autenticação, que permite acesso por padrão.

Medidas de segurança

  • Implementar rate limiting e throttling
  • Criar handler centralizado de exceções
  • Garantir Fail Secure (negar acesso em caso de erro)
  • Apresentar mensagens genéricas aos usuários
  • Implementar blocos try-catch-finally para liberação de recursos
  • Incluir fault injection nos testes

Conte com a Redbelt Security para elevar a segurança da sua empresa

Atuamos de forma consultiva na identificação de riscos, análise de impactos operacionais e apoio à definição de prioridades de correção, combinando testes de segurança, avaliação técnica e orientação estratégica para fortalecer a postura de AppSec e reduzir exposições críticas ao longo do ciclo de vida das aplicações.

Fale hoje mesmo com um de nossos especialistas e conheça as nossas soluções.

Leia também

This website uses cookies to improve your web experience.