Nossa equipe elaborou uma estat\u00edstica sobre as principais vulnerabilidades encontradas em diversas aplica\u00e7\u00f5es. Para isso usamos os dados do hist\u00f3rico dos projetos realizados pela Batori nos \u00faltimos anos. Agrupamos as vulnerabilidades em categorias e contabilizamos a quantidade de vulnerabilidades por categoria.<\/p>\n
Observamos que grande parte das vulnerabilidades n\u00e3o \u00e9 detectada por ferramentas como scanners e analisadores de c\u00f3digo e, quando analisados, n\u00e3o t\u00eam a devida efic\u00e1cia. <\/p>\n
Ver gr\u00e1fico<\/a><\/p>\n 1) Cross-site scripting (XSS) \u2013 T\u00e9cnica de ataque que representa 13% das ocorr\u00eancias. Ela permite executar scripts maliciosos no navegador do usu\u00e1rio da aplica\u00e7\u00e3o vulner\u00e1vel.<\/p>\n 2) Manipula\u00e7\u00e3o de dados ocultos \u2013 Ela responde, tamb\u00e9m, por 13% das ocorr\u00eancias. A aplica\u00e7\u00e3o vulner\u00e1vel permite acesso indevido quando dados ocultos s\u00e3o manipulados indevidamente.<\/p>\n 3) Falha ao restringir acesso a URL ou funcionalidade \u2013 Essa vulnerabilidade, que ocorre porque a aplica\u00e7\u00e3o n\u00e3o restringe adequadamente suas \u00e1reas restritas, representa 11% das ocorr\u00eancias.<\/p>\n 4) Tratamento indevido de erro, revela\u00e7\u00e3o de informa\u00e7\u00f5es sens\u00edveis \u2013 A aplica\u00e7\u00e3o revela informa\u00e7\u00f5es sens\u00edveis atrav\u00e9s de uso n\u00e3o esperado. Responde por 9% das ocorr\u00eancias.<\/p>\n 5) Armazenamento inseguro de criptografia \u2013 Esse tipo de brecha, que representa 9% das ocorr\u00eancias, exp\u00f5e dados sens\u00edveis, que deveriam ser armazenados de forma criptografada e est\u00e3o em texto livre ou com criptografia inadequada.<\/p>\n 6) Comunica\u00e7\u00e3o insegura \u2013 Vulnerabilidade respons\u00e1vel por 8% das ocorr\u00eancias. A aplica\u00e7\u00e3o trafega dados sens\u00edveis atrav\u00e9s de canais n\u00e3o-seguros.<\/p>\n 7) Falha da especifica\u00e7\u00e3o de requisitos \u2013 Defici\u00eancia que representa 8% das ocorr\u00eancias. Os controles de seguran\u00e7a, que deveriam existir, n\u00e3o existem devido a falha na especifica\u00e7\u00e3o.<\/p>\n 8) Inje\u00e7\u00e3o de comandos \u2013 T\u00e9cnica de ataque respons\u00e1vel por 8% das ocorr\u00eancias e que explora inje\u00e7\u00e3o de comandos atrav\u00e9s de aplica\u00e7\u00e3o para serem processados por outros sistemas ou camadas. Por exemplo: SQL Injection, SMTP Injection, HTML Injection etc.<\/p>\n 9) Processo inadequado de cadastro de usu\u00e1rios \u2013 Procedimento que causa 5% das ocorr\u00eancias. O cadastro de usu\u00e1rio deve respeitar algumas recomenda\u00e7\u00f5es de seguran\u00e7a, que se n\u00e3o forem seguidas podem expor a aplica\u00e7\u00e3o a diversos incidentes.<\/p>\n 10) Quebra de autentica\u00e7\u00e3o e gerenciamento de sess\u00e3o \u2013 Respons\u00e1vel por 5% das ocorr\u00eancias, as aplica\u00e7\u00f5es vulner\u00e1veis permitem burlar o processo de autentica\u00e7\u00e3o atrav\u00e9s de gest\u00e3o fraca de sess\u00e3o ou procedimentos inseguros.<\/p>\n Autor: Ricardo Kiyoshi Batori<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Nossa equipe elaborou uma estat\u00edstica sobre as principais vulnerabilidades encontradas em diversas aplica\u00e7\u00f5es. Para isso usamos os dados do hist\u00f3rico dos projetos realizados pela Batori nos \u00faltimos anos. Agrupamos as vulnerabilidades em categorias e contabilizamos a quantidade de vulnerabilidades por … Continue lendo