Num mundo cada vez mais digital, onde aplicações web suportam serviços bancários, plataformas de e-commerce e sistemas públicos, a segurança deixou de ser opcional. Conheça as 10 principais falhas críticas em aplicações web.
A versão mais recente do OWASP TOP é a de 2025. O OWASP Top 10 é uma das referências mundiais mais importantes na área da segurança aplicacional. Trata-se de uma lista com as 10 vulnerabilidades mais críticas em aplicações web, que serve de guia para programadores, equipas de segurança e gestores de TI.
OWASP Top 10:2025
A01:2025 – Broken Access Control
- Controlo de acesso incorreto continua a ser o risco mais prevalente, incluindo falhas de autorização e manipulação de privilégios.
A02:2025 – Security Misconfiguration
- Erros de configuração insegura (desde cloud até frameworks e servidores) subiram para o segundo lugar.
A03:2025 – Software Supply Chain Failures
- Expansão do antigo risco de componentes vulneráveis para incluir falhas em dependências, pipelines de build, artefatos e infraestrutura de distribuição.
A04:2025 – Cryptographic Failures
- Falhas na protecção de dados sensíveis, implementações criptográficas fracas ou configuração incorreta de protocolos.
A05:2025 – Injection
- Clássicas falhas de injeção continuam relevantes — desde SQL até XSS e outras formas de injeção de comandos.
A06:2025 – Insecure Design
- Deficiências na arquitetura e design de software que permitem falhas de segurança desde o início do desenvolvimento.
A07:2025 – Authentication Failures
- Problemas com mecanismos de autenticação – sessões, passwords fracas ou ausência de MFA, permitindo acesso indevido.
A08:2025 – Software or Data Integrity Failures
- Falhas que comprometem a confiança em dados, artefatos ou actualizações de software.
A09:2025 – Security Logging and Alerting Failures
- Falta de registo eficaz e alertas que impeçam a deteção rápida de incidentes de segurança.
A10:2025 – Mishandling of Exceptional Conditions
- erros no tratamento de estados excepcionais ou de erro – falhar em gerir condições anómalas pode abrir portas a abusos lógicos
O OWASP Top 10 evidencia que a maioria das falhas críticas em aplicações resulta de problemas estruturais no ciclo de desenvolvimento, e não apenas de erros pontuais de código. A maturidade de segurança de uma organização mede-se cada vez mais pela forma como internaliza estas práticas no SDLC (Secure Software Development Lifecycle).
OWASP Top 10 não deve ser encarado como uma checklist pontual, mas como um baseline técnico mínimo para qualquer aplicação exposta à Internet.