Glossário
O que é o OWASP Top 10 — a lista padrão dos 10 maiores riscos de aplicações web
O OWASP Top 10 é a lista padrão dos riscos mais críticos de segurança de aplicações web. Isto explica o que cada categoria — controle de acesso quebrado, injeção, configuração incorreta e mais — realmente significa, e o que priorizar defender no seu próprio app, com links para os explicadores deste site.
O "OWASP Top 10" é a linguagem comum para falar de segurança de aplicações web. Aqui está o que cada item significa — enquadrado como uma lente de defesa, não como passos de ataque — com links para os explicadores mais aprofundados deste site.
Os 10 riscos num relance (2021)
Cada item é uma categoria. Mapeie-o no seu próprio app e desça a lista como uma lente de auditoria.
| # | Risco | Basicamente o que significa | Relacionado neste site |
|---|---|---|---|
| A01 | Controle de Acesso Quebrado | "logado = autorizado"; faltam checagens de dono | autenticação vs autorização / IDOR |
| A02 | Falhas Criptográficas | segredos em texto puro, criptografia fraca, lacunas de TLS | criptografia de chave pública / hashing de senhas |
| A03 | Injeção | a entrada sequestra uma query/comando | injeção de SQL / XSS |
| A04 | Design Inseguro | ameaças não consideradas no projeto | a checklist mínima |
| A05 | Configuração Incorreta de Segurança | debug em produção, padrões, recursos expostos | CORS |
| A06 | Componentes Vulneráveis e Desatualizados | CVEs conhecidos ignorados em dependências | monitorar CVEs de dependências |
| A07 | Falhas de Autenticação | autenticação fraca, sem resistência a força bruta, sem MFA | 2FA / passkeys |
| A08 | Falhas de Integridade de Software e Dados | cadeia de suprimentos / caminho de atualização adulterado | história da segurança (cadeia de suprimentos) |
| A09 | Falhas de Registro e Monitoramento | não dá para detectar ou rastrear um incidente | por que logs de auditoria importam |
| A10 | SSRF | o servidor é levado a buscar alvos internos | SSRF |
Como usá-lo: um início de priorização, não uma checklist
Não trate 'cobrir' o Top 10 como concluído
O Top 10 são as dez categorias mais representativas, não uma garantia de suficiência. Use-o como ponto de partida para priorização e para achar lacunas, e reforce também as bases que ele não cobre diretamente — monitoramento de CVE de dependências, gerenciamento de segredos, backups e detecção.
Comece pelo topo (A01–A03) no seu próprio app
Audite controle de acesso, criptografia e injeção no seu próprio código primeiro — as fontes de incidente mais frequentes se concentram aqui.
Cheque configuração e dependências (A05, A06) de forma mecânica
Aperte a configuração de produção (sem exposição de debug) e torne o monitoramento de CVE de dependências um mecanismo.
Tenha detecção (A09) antes de um incidente
Sem logs e monitoramento você não consegue perceber nem rastrear um incidente. Retenha ao menos logs básicos de auditoria e de acesso.
A visão deste site: uma ferramenta para mapear no seu próprio código
O valor do Top 10 não é decorar números — é mapear cada categoria no seu próprio app e auditá-la. Este site mantém explicadores por risco traduzidos em "como você defende". Use o Top 10 como porta de entrada e comece pelos itens do topo — controle de acesso, criptografia, injeção — no seu próprio código.
Leia em seguida
- Básico: autenticação vs autorização (o cerne do A01) · a checklist mínima de segurança
- Glossário: injeção de SQL · IDOR · SSRF
- História: a história da segurança (linha do tempo)
FAQ
QO que é o OWASP Top 10?
É uma lista que a organização sem fins lucrativos OWASP (Open Worldwide Application Security Project) publica a cada poucos anos com os 'riscos mais críticos de segurança de aplicações web', organizados em dez categorias. Não é um conjunto de receitas de ataque — é uma linguagem comum que desenvolvedores e operadores usam para checar 'onde eu preciso, no mínimo, olhar'. A edição atual é a versão de 2021.
QQual é o número um do OWASP Top 10?
A edição de 2021 é liderada por Controle de Acesso Quebrado — a falha de projeto em que estar logado é tratado como estar autorizado, sem checar se aquele usuário realmente pode executar aquela ação ou tocar naqueles dados. O IDOR (alcançar dados de outra pessoa fornecendo o ID dela) é um exemplo clássico dessa categoria.
QSe eu cobrir o OWASP Top 10, estou seguro?
Não. O Top 10 são as dez categorias mais representativas, não uma checklist que garante suficiência. Use-o como ponto de partida para priorização e para achar lacunas, e reforce também as bases que ele não cobre diretamente — monitoramento de CVE de dependências, gerenciamento de segredos, backups e detecção.