A OWASP Foundation (Open Worldwide Application Security Project) é uma organização sem fins lucrativos dedicada a melhorar a segurança de software em todo o mundo. Um dos seus produtos mais reconhecidos é o OWASP Top 10, um documento de conscientização que lista as dez vulnerabilidades mais críticas em aplicações web. Em 2025, foi lançada a 8ª edição desta lista, baseada na análise de mais de 175.000 registros de CVEs e no feedback de profissionais de segurança ao redor do globo.
Esta edição traz mudanças significativas em relação à versão de 2021: duas novas categorias, uma consolidação e reposicionamentos importantes que refletem a evolução do cenário de ameaças digitais. A seguir, exploramos cada uma das dez categorias.
A01:2025 — Broken Access Control (Controle de Acesso Quebrado)
Pelo segundo ciclo consecutivo, o controle de acesso quebrado ocupa o topo da lista. Presente em média em 3,73% das aplicações testadas, esta categoria engloba 40 CWEs e agora incorpora o Server-Side Request Forgery (SSRF), que era uma categoria independente em 2021.
Falhas de controle de acesso permitem que usuários realizem ações além de suas permissões — como acessar dados de outros usuários (escalada horizontal) ou executar funções administrativas sem autorização (escalada vertical). A mitigação exige implementação de controles como RBAC/ABAC, validação de permissões no servidor e aplicação do princípio do menor privilégio.
A02:2025 — Security Misconfiguration (Configuração Incorreta de Segurança)
Subindo do 5º para o 2º lugar, a configuração incorreta de segurança reflete uma realidade crescente: à medida que o software moderno depende cada vez mais de configurações externas (cloud, containers, frameworks), o risco de erros de configuração aumenta proporcionalmente. Credenciais padrão, mensagens de erro verbosas, componentes desnecessários habilitados e ausência de patches são exemplos comuns. A automação de varreduras de configuração e a padronização de ambientes são medidas essenciais de mitigação.
A03:2025 — Software Supply Chain Failures (Falhas na Cadeia de Suprimentos de Software)
Esta é uma das duas novas categorias da edição 2025, expandindo o escopo da antiga “Vulnerable and Outdated Components”. Ela abrange comprometimentos em bibliotecas de terceiros, pipelines de build, imagens de containers e mecanismos de distribuição de software.
Ataques à cadeia de suprimentos têm crescido de forma alarmante: de uma média de 13 incidentes mensais no início de 2024 para mais de 25 em alguns meses de 2025. Em outubro de 2025, foram registrados 41 incidentes — mais de 30% acima de qualquer mês anterior. Um exemplo notório foi a campanha Shai-Hulud, que comprometeu dezenas de pacotes npm em setembro de 2025. A adoção de SBOMs (Software Bill of Materials), assinatura digital de artefatos e pipelines de CI/CD com menor privilégio são contramedidas fundamentais.
A04:2025 — Cryptographic Failures (Falhas Criptográficas)
Caindo do 2º para o 4º lugar, as falhas criptográficas continuam sendo uma das principais causas de exposição de dados sensíveis. Uso de algoritmos obsoletos (MD5, SHA-1, DES), transmissão de dados via HTTP, armazenamento de senhas em texto claro e chaves de criptografia embutidas no código-fonte são exemplos recorrentes. A mitigação passa pelo uso de algoritmos modernos (AES-256, TLS 1.3, Argon2 para senhas) e gestão segura de chaves criptográficas.
A05:2025 — Injection (Injeção)
Caindo do 3º para o 5º lugar, as vulnerabilidades de injeção — SQL, NoSQL, comandos de SO, LDAP e XSS — permanecem entre as mais exploradas. Ocorrem quando dados não confiáveis são passados diretamente a um interpretador sem validação adequada. O uso de consultas parametrizadas, validação por lista de permissões (allow-list) e codificação de saída contextual são as principais defesas.
A06:2025 — Insecure Design (Design Inseguro)
Caindo do 4º para o 6º lugar, o design inseguro refere-se a falhas arquiteturais e de lógica de negócio — não a erros de implementação. Fluxos de recuperação de senha fracos, ausência de modelagem de ameaças e falta de revisões de segurança na fase de design são exemplos típicos. A integração de segurança desde as fases iniciais do SDLC (Shift Left) e a prática de threat modeling são as principais recomendações.
A07:2025 — Authentication Failures (Falhas de Autenticação)
Renomeada de “Identification and Authentication Failures”, esta categoria mantém o 7º lugar. Senhas fracas, ausência de MFA, falhas no gerenciamento de sessões e mecanismos inseguros de recuperação de credenciais continuam sendo vetores críticos de ataque. A adoção de MFA resistente a phishing (FIDO2/WebAuthn), políticas de senha alinhadas ao NIST e monitoramento de eventos de autenticação são medidas essenciais.
A08:2025 — Software or Data Integrity Failures (Falhas de Integridade de Software ou Dados)
Mantendo o 8º lugar, esta categoria foca na falha em verificar a integridade de software, código e dados. Ataques como o SolarWinds (2020) e o Codecov (2021) demonstraram o impacto devastador de pipelines de CI/CD comprometidos e atualizações de software adulteradas. A assinatura digital de pacotes, verificação de checksums e builds reproduzíveis são contramedidas indispensáveis.
A09:2025 — Security Logging and Alerting Failures (Falhas de Registro e Alertas de Segurança)
Renomeada para enfatizar a importância dos alertas (e não apenas do monitoramento), esta categoria permanece no 9º lugar. Sem telemetria adequada e alertas eficazes, até ataques simples podem escalar para comprometimentos totais. A categoria é historicamente sub-representada nos dados de testes, mas foi mantida por votação da comunidade, dada sua relevância prática.
A10:2025 — Mishandling of Exceptional Conditions (Tratamento Inadequado de Condições Excepcionais)
A segunda nova categoria de 2025 abrange 24 CWEs relacionados a tratamento inadequado de erros, falhas lógicas, failing open (falhar de forma permissiva) e outros cenários decorrentes de condições anormais. Quando sistemas não tratam exceções corretamente, podem expor informações sensíveis, permitir bypass de controles de segurança ou entrar em estados inconsistentes exploráveis por atacantes.
O que Mudou em Relação a 2021?
| Posição | OWASP Top 10:2021 | OWASP Top 10:2025 |
|---|---|---|
| 1 | Broken Access Control | Broken Access Control |
| 2 | Cryptographic Failures | Security Misconfiguration ↑ |
| 3 | Injection | Software Supply Chain Failures 🆕 |
| 4 | Insecure Design | Cryptographic Failures ↓ |
| 5 | Security Misconfiguration | Injection ↓ |
| 6 | Vulnerable & Outdated Components | Insecure Design ↓ |
| 7 | Identification & Auth. Failures | Authentication Failures |
| 8 | Software & Data Integrity Failures | Software or Data Integrity Failures |
| 9 | Security Logging & Monitoring Failures | Security Logging & Alerting Failures |
| 10 | Server-Side Request Forgery | Mishandling of Exceptional Conditions 🆕 |
Conclusão
O OWASP Top 10:2025 representa uma evolução madura na forma como a indústria enxerga a segurança de aplicações. A ascensão das falhas na cadeia de suprimentos ao pódio e a introdução do tratamento inadequado de condições excepcionais refletem ameaças que ganharam escala e sofisticação nos últimos anos. Ao mesmo tempo, a permanência do controle de acesso quebrado no topo reforça que vulnerabilidades fundamentais continuam sendo negligenciadas.
Para organizações que buscam maturidade em segurança, o OWASP Top 10:2025 deve ser tratado não como um checklist de conformidade, mas como um ponto de partida para uma cultura de desenvolvimento seguro — integrando segurança desde o design até a operação, passando por toda a cadeia de suprimentos de software.