Pular para o conteúdo
>_ITDITDPlataforma de Segurança Web

Glossário

O que é o OWASP Top 10 — a lista padrão dos 10 maiores riscos de aplicações web

O OWASP Top 10 é a lista padrão dos riscos mais críticos de segurança de aplicações web. Isto explica o que cada categoria — controle de acesso quebrado, injeção, configuração incorreta e mais — realmente significa, e o que priorizar defender no seu próprio app, com links para os explicadores deste site.

Publicado 2026-07-04 Atualizado 2026-07-04 4 min de leitura

O "OWASP Top 10" é a linguagem comum para falar de segurança de aplicações web. Aqui está o que cada item significa — enquadrado como uma lente de defesa, não como passos de ataque — com links para os explicadores mais aprofundados deste site.

Os 10 riscos num relance (2021)

Cada item é uma categoria. Mapeie-o no seu próprio app e desça a lista como uma lente de auditoria.

#RiscoBasicamente o que significaRelacionado neste site
A01Controle de Acesso Quebrado"logado = autorizado"; faltam checagens de donoautenticação vs autorização / IDOR
A02Falhas Criptográficassegredos em texto puro, criptografia fraca, lacunas de TLScriptografia de chave pública / hashing de senhas
A03Injeçãoa entrada sequestra uma query/comandoinjeção de SQL / XSS
A04Design Inseguroameaças não consideradas no projetoa checklist mínima
A05Configuração Incorreta de Segurançadebug em produção, padrões, recursos expostosCORS
A06Componentes Vulneráveis e DesatualizadosCVEs conhecidos ignorados em dependênciasmonitorar CVEs de dependências
A07Falhas de Autenticaçãoautenticação fraca, sem resistência a força bruta, sem MFA2FA / passkeys
A08Falhas de Integridade de Software e Dadoscadeia de suprimentos / caminho de atualização adulteradohistória da segurança (cadeia de suprimentos)
A09Falhas de Registro e Monitoramentonão dá para detectar ou rastrear um incidentepor que logs de auditoria importam
A10SSRFo servidor é levado a buscar alvos internosSSRF

Como usá-lo: um início de priorização, não uma checklist

Não trate 'cobrir' o Top 10 como concluído

O Top 10 são as dez categorias mais representativas, não uma garantia de suficiência. Use-o como ponto de partida para priorização e para achar lacunas, e reforce também as bases que ele não cobre diretamente — monitoramento de CVE de dependências, gerenciamento de segredos, backups e detecção.

1

Comece pelo topo (A01–A03) no seu próprio app

Audite controle de acesso, criptografia e injeção no seu próprio código primeiro — as fontes de incidente mais frequentes se concentram aqui.

2

Cheque configuração e dependências (A05, A06) de forma mecânica

Aperte a configuração de produção (sem exposição de debug) e torne o monitoramento de CVE de dependências um mecanismo.

3

Tenha detecção (A09) antes de um incidente

Sem logs e monitoramento você não consegue perceber nem rastrear um incidente. Retenha ao menos logs básicos de auditoria e de acesso.

A visão deste site: uma ferramenta para mapear no seu próprio código

O valor do Top 10 não é decorar números — é mapear cada categoria no seu próprio app e auditá-la. Este site mantém explicadores por risco traduzidos em "como você defende". Use o Top 10 como porta de entrada e comece pelos itens do topo — controle de acesso, criptografia, injeção — no seu próprio código.

Leia em seguida

FAQ

QO que é o OWASP Top 10?
A

É uma lista que a organização sem fins lucrativos OWASP (Open Worldwide Application Security Project) publica a cada poucos anos com os 'riscos mais críticos de segurança de aplicações web', organizados em dez categorias. Não é um conjunto de receitas de ataque — é uma linguagem comum que desenvolvedores e operadores usam para checar 'onde eu preciso, no mínimo, olhar'. A edição atual é a versão de 2021.

QQual é o número um do OWASP Top 10?
A

A edição de 2021 é liderada por Controle de Acesso Quebrado — a falha de projeto em que estar logado é tratado como estar autorizado, sem checar se aquele usuário realmente pode executar aquela ação ou tocar naqueles dados. O IDOR (alcançar dados de outra pessoa fornecendo o ID dela) é um exemplo clássico dessa categoria.

QSe eu cobrir o OWASP Top 10, estou seguro?
A

Não. O Top 10 são as dez categorias mais representativas, não uma checklist que garante suficiência. Use-o como ponto de partida para priorização e para achar lacunas, e reforce também as bases que ele não cobre diretamente — monitoramento de CVE de dependências, gerenciamento de segredos, backups e detecção.