OWASP Top 10: Quais são os tipos de ameaças que o WAF consegue te proteger?
Os aplicativos modernos da web exigem um WAF abrangente para protegê-los contra vários tipos de ameaças, como o Open Web Application Security Project (OWASP Top 10), que “representa um amplo consenso sobre os riscos de segurança mais críticos para os aplicativos da web”.
O OWASP Top 10 protege contra:
1. Injection
Quando dados não confiáveis são enviados a um intérprete, um invasor pode injetar um código malicioso.
2. Broken Authentication and Session Management
Se os mecanismos de autenticação não forem implementados corretamente, os invasores podem expor essas vulnerabilidades.
3. Sensitive Data Exposure
Como muitos aplicativos da web e APIs carecem de segurança de dados, os invasores podem explorar informações financeiras, de saúde e pessoais confidenciais.
4. XML external entities (XXE)
Muitos processadores XML avaliam entidades extremas, que podem ser aproveitadas para divulgar arquivos internos.
5. Broken Access Control
Quando o acesso do usuário e suas restrições não são reforçados, os usuários não autorizados podem acessar arquivos confidenciais.
6. Security Misconfiguration
Configurações padrões ou ad-hoc podem levar a configurações incorretas de segurança que levam a vulnerabilidades.
7. Cross-site scripting (XSS)
Quando um aplicativo inclui dados não confiáveis sem validação, ocorrem falhas de XSS que podem ser usadas para realizar ataques.
8. Insecure Deserialization
Leva à execução remota de código que pode ser usado para realizar ataques.
9. Using Components with Known Vulnerabilities
Os componentes geralmente são executados com os mesmos privilégios do aplicativo. Se ocorrer uma vulnerabilidade, todos os componentes e aplicativos podem ser comprometidos.
10. Insufficient Logging & Monitoring
O logging e o monitoramento que não se integram a uma tecnologia de resposta a incidentes criam processos insuficientes
No entanto, levar em consideração o Top 10 do OWASP é apenas o começo. O OWASP descreve o Top 10 como uma lista dos riscos mais abrangentes que as organizações devem tolerar.
A segurança WAF moderna deve ir além para abordar ameaças fora do escopo do OWASP Top 10, incluindo:
Bots
Programas que interagem com nossos aplicativos e muitas vezes imitam a interação humana. Bons bots podem interagir com um aplicativo e incluem: mecanismos de pesquisa, assistentes virtuais e agregadores de conteúdo (por exemplo, sites de comparação de preços). A atividade de um bot maléfico pode incluir: web scraping, mineração de dados competitivos, coleta de dados pessoais e financeiros, aquisição de conta, fraude de anúncio digital e fraude de transação.
Uploads maliciosos
Muitos aplicativos da web permitem que os usuários carreguem seu próprio conteúdo, que pode incluir uma variedade de cargas de código malicioso.
Vulnerabilidades desconhecidas
Soluções baseadas em assinatura não podem proteger contra vulnerabilidades descobertas recentemente. Uma solução WAF robusta deve ser capaz de se defender contra ameaças para as quais não existem assinaturas.
Ataques de dia zero
Ataques que visam falhas anteriormente desconhecidas em um aplicativo. Quando um agente de ameaça descobre uma vulnerabilidade de dia zero, ele pode usá-la para explorar sistemas que não possuem medidas defensivas adicionais em vigor, como um WAF.
Ataque de negação de serviço (DDoS)
O uso de um grande número de sistemas, geralmente um botnet de computadores comprometidos, para sobrecarregar um aplicativo de forma que ele não possa responder às solicitações do usuário. Os ataques DDoS podem tentar simplesmente sobrecarregar o sistema com tráfego ou podem tentar explorar uma falha na lógica do aplicativo para obter o mesmo resultado.
O Proteja XP
Agora que você sabe tudo sobre as proteções do WAF, está na hora de contratar um para o seu negócio!
Habilite hoje mesmo esta proteção para os seus sites, blogs e aplicativos, contrate o serviço Proteja XP da Maximize! O Proteja XP é uma assinatura mensal da plataforma de proteção firewall de aplicação web –W.A.F. líder do mercado, incluindo o suporte continuado, de forma rápida e prática, totalmente na nuvem.
Tenho certeza que você não vai querer correr o risco de ser mais uma empresa brasileira vítima de ciberataques, entre em contato conosco.
E acompanhe as outras dicas no nosso blog e no nosso facebook.
Assista o nosso vídeo sobre o assunto: