{"id":362,"date":"2026-03-01T05:10:51","date_gmt":"2026-03-01T05:10:51","guid":{"rendered":"https:\/\/www.interglobe.com.br\/site\/?p=362"},"modified":"2026-03-01T05:18:14","modified_gmt":"2026-03-01T05:18:14","slug":"owasp-top-102025-seguranca-de-aplicacoes-web","status":"publish","type":"post","link":"https:\/\/www.interglobe.com.br\/site\/owasp-top-102025-seguranca-de-aplicacoes-web\/","title":{"rendered":"OWASP Top 10:2025 – Seguran\u00e7a de Aplica\u00e7\u00f5es Web"},"content":{"rendered":"\n
\n

\"\"<\/h2>\n

A OWASP Foundation (Open Worldwide Application Security Project) \u00e9 uma organiza\u00e7\u00e3o sem fins lucrativos dedicada a melhorar a seguran\u00e7a de software em todo o mundo. Um dos seus produtos mais reconhecidos \u00e9 o OWASP Top 10, um documento de conscientiza\u00e7\u00e3o que lista as dez vulnerabilidades mais cr\u00edticas em aplica\u00e7\u00f5es web. Em 2025, foi lan\u00e7ada a 8\u00aa edi\u00e7\u00e3o desta lista, baseada na an\u00e1lise de mais de 175.000 registros de CVEs e no feedback de profissionais de seguran\u00e7a ao redor do globo.<\/p>\n

Esta edi\u00e7\u00e3o traz mudan\u00e7as significativas em rela\u00e7\u00e3o \u00e0 vers\u00e3o de 2021: duas novas categorias, uma consolida\u00e7\u00e3o e reposicionamentos importantes que refletem a evolu\u00e7\u00e3o do cen\u00e1rio de amea\u00e7as digitais. A seguir, exploramos cada uma das dez categorias.<\/p>\n

\n

A01:2025 \u2014 Broken Access Control (Controle de Acesso Quebrado)<\/h3>\n

Pelo segundo ciclo consecutivo, o controle de acesso quebrado ocupa o topo da lista. Presente em m\u00e9dia em 3,73% das aplica\u00e7\u00f5es testadas<\/strong>, esta categoria engloba 40 CWEs e agora incorpora o Server-Side Request Forgery (SSRF)<\/strong>, que era uma categoria independente em 2021.<\/p>\n

Falhas de controle de acesso permitem que usu\u00e1rios realizem a\u00e7\u00f5es al\u00e9m de suas permiss\u00f5es \u2014 como acessar dados de outros usu\u00e1rios (escalada horizontal) ou executar fun\u00e7\u00f5es administrativas sem autoriza\u00e7\u00e3o (escalada vertical). A mitiga\u00e7\u00e3o exige implementa\u00e7\u00e3o de controles como RBAC\/ABAC, valida\u00e7\u00e3o de permiss\u00f5es no servidor e aplica\u00e7\u00e3o do princ\u00edpio do menor privil\u00e9gio.<\/p>\n

\n

A02:2025 \u2014 Security Misconfiguration (Configura\u00e7\u00e3o Incorreta de Seguran\u00e7a)<\/h3>\n

Subindo do 5\u00ba para o 2\u00ba lugar<\/strong>, a configura\u00e7\u00e3o incorreta de seguran\u00e7a reflete uma realidade crescente: \u00e0 medida que o software moderno depende cada vez mais de configura\u00e7\u00f5es externas (cloud, containers, frameworks), o risco de erros de configura\u00e7\u00e3o aumenta proporcionalmente. Credenciais padr\u00e3o, mensagens de erro verbosas, componentes desnecess\u00e1rios habilitados e aus\u00eancia de patches s\u00e3o exemplos comuns. A automa\u00e7\u00e3o de varreduras de configura\u00e7\u00e3o e a padroniza\u00e7\u00e3o de ambientes s\u00e3o medidas essenciais de mitiga\u00e7\u00e3o.<\/p>\n

\n

A03:2025 \u2014 Software Supply Chain Failures (Falhas na Cadeia de Suprimentos de Software)<\/h3>\n

Esta \u00e9 uma das duas novas categorias<\/strong> da edi\u00e7\u00e3o 2025, expandindo o escopo da antiga “Vulnerable and Outdated Components”. Ela abrange comprometimentos em bibliotecas de terceiros, pipelines de build, imagens de containers e mecanismos de distribui\u00e7\u00e3o de software.<\/p>\n

Ataques \u00e0 cadeia de suprimentos t\u00eam crescido de forma alarmante: de uma m\u00e9dia de 13 incidentes mensais no in\u00edcio de 2024 para mais de 25 em alguns meses de 2025. Em outubro de 2025, foram registrados 41 incidentes<\/strong> \u2014 mais de 30% acima de qualquer m\u00eas anterior. Um exemplo not\u00f3rio foi a campanha Shai-Hulud<\/em>, que comprometeu dezenas de pacotes npm em setembro de 2025. A ado\u00e7\u00e3o de SBOMs (Software Bill of Materials)<\/strong>, assinatura digital de artefatos e pipelines de CI\/CD com menor privil\u00e9gio s\u00e3o contramedidas fundamentais.<\/p>\n

\n

A04:2025 \u2014 Cryptographic Failures (Falhas Criptogr\u00e1ficas)<\/h3>\n

Caindo do 2\u00ba para o 4\u00ba lugar<\/strong>, as falhas criptogr\u00e1ficas continuam sendo uma das principais causas de exposi\u00e7\u00e3o de dados sens\u00edveis. Uso de algoritmos obsoletos (MD5, SHA-1, DES), transmiss\u00e3o de dados via HTTP, armazenamento de senhas em texto claro e chaves de criptografia embutidas no c\u00f3digo-fonte s\u00e3o exemplos recorrentes. A mitiga\u00e7\u00e3o passa pelo uso de algoritmos modernos (AES-256, TLS 1.3, Argon2 para senhas) e gest\u00e3o segura de chaves criptogr\u00e1ficas.<\/p>\n

\n

A05:2025 \u2014 Injection (Inje\u00e7\u00e3o)<\/h3>\n

Caindo do 3\u00ba para o 5\u00ba lugar<\/strong>, as vulnerabilidades de inje\u00e7\u00e3o \u2014 SQL, NoSQL, comandos de SO, LDAP e XSS \u2014 permanecem entre as mais exploradas. Ocorrem quando dados n\u00e3o confi\u00e1veis s\u00e3o passados diretamente a um interpretador sem valida\u00e7\u00e3o adequada. O uso de consultas parametrizadas<\/strong>, valida\u00e7\u00e3o por lista de permiss\u00f5es (allow-list<\/em>) e codifica\u00e7\u00e3o de sa\u00edda contextual s\u00e3o as principais defesas.<\/p>\n

\n

A06:2025 \u2014 Insecure Design (Design Inseguro)<\/h3>\n

Caindo do 4\u00ba para o 6\u00ba lugar<\/strong>, o design inseguro refere-se a falhas arquiteturais e de l\u00f3gica de neg\u00f3cio \u2014 n\u00e3o a erros de implementa\u00e7\u00e3o. Fluxos de recupera\u00e7\u00e3o de senha fracos, aus\u00eancia de modelagem de amea\u00e7as e falta de revis\u00f5es de seguran\u00e7a na fase de design s\u00e3o exemplos t\u00edpicos. A integra\u00e7\u00e3o de seguran\u00e7a desde as fases iniciais do SDLC (Shift Left<\/em>) e a pr\u00e1tica de threat modeling<\/em> s\u00e3o as principais recomenda\u00e7\u00f5es.<\/p>\n

\n

A07:2025 \u2014 Authentication Failures (Falhas de Autentica\u00e7\u00e3o)<\/h3>\n

Renomeada de “Identification and Authentication Failures”, esta categoria mant\u00e9m o 7\u00ba lugar<\/strong>. Senhas fracas, aus\u00eancia de MFA, falhas no gerenciamento de sess\u00f5es e mecanismos inseguros de recupera\u00e7\u00e3o de credenciais continuam sendo vetores cr\u00edticos de ataque. A ado\u00e7\u00e3o de MFA resistente a phishing (FIDO2\/WebAuthn), pol\u00edticas de senha alinhadas ao NIST e monitoramento de eventos de autentica\u00e7\u00e3o s\u00e3o medidas essenciais.<\/p>\n

\n

A08:2025 \u2014 Software or Data Integrity Failures (Falhas de Integridade de Software ou Dados)<\/h3>\n

Mantendo o 8\u00ba lugar<\/strong>, esta categoria foca na falha em verificar a integridade de software, c\u00f3digo e dados. Ataques como o SolarWinds<\/strong> (2020) e o Codecov<\/strong> (2021) demonstraram o impacto devastador de pipelines de CI\/CD comprometidos e atualiza\u00e7\u00f5es de software adulteradas. A assinatura digital de pacotes, verifica\u00e7\u00e3o de checksums e builds reproduz\u00edveis s\u00e3o contramedidas indispens\u00e1veis.<\/p>\n

\n

A09:2025 \u2014 Security Logging and Alerting Failures (Falhas de Registro e Alertas de Seguran\u00e7a)<\/h3>\n

Renomeada para enfatizar a import\u00e2ncia dos alertas<\/strong> (e n\u00e3o apenas do monitoramento), esta categoria permanece no 9\u00ba lugar<\/strong>. Sem telemetria adequada e alertas eficazes, at\u00e9 ataques simples podem escalar para comprometimentos totais. A categoria \u00e9 historicamente sub-representada nos dados de testes, mas foi mantida por vota\u00e7\u00e3o da comunidade, dada sua relev\u00e2ncia pr\u00e1tica.<\/p>\n

\n

A10:2025 \u2014 Mishandling of Exceptional Conditions (Tratamento Inadequado de Condi\u00e7\u00f5es Excepcionais)<\/h3>\n

A segunda nova categoria de 2025 abrange 24 CWEs relacionados a tratamento inadequado de erros, falhas l\u00f3gicas, failing open<\/em> (falhar de forma permissiva) e outros cen\u00e1rios decorrentes de condi\u00e7\u00f5es anormais. Quando sistemas n\u00e3o tratam exce\u00e7\u00f5es corretamente, podem expor informa\u00e7\u00f5es sens\u00edveis, permitir bypass de controles de seguran\u00e7a ou entrar em estados inconsistentes explor\u00e1veis por atacantes.<\/p>\n

\n

O que Mudou em Rela\u00e7\u00e3o a 2021?<\/h2>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
Posi\u00e7\u00e3o<\/span><\/th>\nOWASP Top 10:2021<\/span><\/th>\nOWASP Top 10:2025<\/span><\/th>\n<\/tr>\n<\/thead>\n
1<\/td>\nBroken Access Control<\/td>\nBroken Access Control<\/td>\n<\/tr>\n
2<\/td>\nCryptographic Failures<\/td>\nSecurity Misconfiguration \u2191<\/td>\n<\/tr>\n
3<\/td>\nInjection<\/td>\nSoftware Supply Chain Failures 🆕<\/td>\n<\/tr>\n
4<\/td>\nInsecure Design<\/td>\nCryptographic Failures \u2193<\/td>\n<\/tr>\n
5<\/td>\nSecurity Misconfiguration<\/td>\nInjection \u2193<\/td>\n<\/tr>\n
6<\/td>\nVulnerable & Outdated Components<\/td>\nInsecure Design \u2193<\/td>\n<\/tr>\n
7<\/td>\nIdentification & Auth. Failures<\/td>\nAuthentication Failures<\/td>\n<\/tr>\n
8<\/td>\nSoftware & Data Integrity Failures<\/td>\nSoftware or Data Integrity Failures<\/td>\n<\/tr>\n
9<\/td>\nSecurity Logging & Monitoring Failures<\/td>\nSecurity Logging & Alerting Failures<\/td>\n<\/tr>\n
10<\/td>\nServer-Side Request Forgery<\/td>\nMishandling of Exceptional Conditions 🆕<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
\n

Conclus\u00e3o<\/h2>\n

O OWASP Top 10:2025<\/a> representa uma evolu\u00e7\u00e3o madura na forma como a ind\u00fastria enxerga a seguran\u00e7a de aplica\u00e7\u00f5es. A ascens\u00e3o das falhas na cadeia de suprimentos ao p\u00f3dio e a introdu\u00e7\u00e3o do tratamento inadequado de condi\u00e7\u00f5es excepcionais refletem amea\u00e7as que ganharam escala e sofistica\u00e7\u00e3o nos \u00faltimos anos. Ao mesmo tempo, a perman\u00eancia do controle de acesso quebrado no topo refor\u00e7a que vulnerabilidades fundamentais continuam sendo negligenciadas.<\/p>\n

Para organiza\u00e7\u00f5es que buscam maturidade em seguran\u00e7a, o OWASP Top 10:2025 deve ser tratado n\u00e3o como um checklist de conformidade, mas como um ponto de partida para uma cultura de desenvolvimento seguro \u2014 integrando seguran\u00e7a desde o design at\u00e9 a opera\u00e7\u00e3o, passando por toda a cadeia de suprimentos de software.<\/p>\n<\/div>\n\n\n","protected":false},"excerpt":{"rendered":"

A OWASP Foundation (Open Worldwide Application Security Project) \u00e9 uma organiza\u00e7\u00e3o sem fins lucrativos dedicada a melhorar a seguran\u00e7a de software em todo o mundo. Um dos seus produtos mais …<\/p>\n","protected":false},"author":1,"featured_media":364,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11],"tags":[],"class_list":["post-362","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguranca_cibernetica"],"_links":{"self":[{"href":"https:\/\/www.interglobe.com.br\/site\/wp-json\/wp\/v2\/posts\/362","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.interglobe.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.interglobe.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.interglobe.com.br\/site\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.interglobe.com.br\/site\/wp-json\/wp\/v2\/comments?post=362"}],"version-history":[{"count":3,"href":"https:\/\/www.interglobe.com.br\/site\/wp-json\/wp\/v2\/posts\/362\/revisions"}],"predecessor-version":[{"id":367,"href":"https:\/\/www.interglobe.com.br\/site\/wp-json\/wp\/v2\/posts\/362\/revisions\/367"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.interglobe.com.br\/site\/wp-json\/wp\/v2\/media\/364"}],"wp:attachment":[{"href":"https:\/\/www.interglobe.com.br\/site\/wp-json\/wp\/v2\/media?parent=362"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.interglobe.com.br\/site\/wp-json\/wp\/v2\/categories?post=362"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.interglobe.com.br\/site\/wp-json\/wp\/v2\/tags?post=362"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}