§ I · Segurança aplicacional

Auditoria de segurança, sem teatralidade.

A OWASP Foundation mantém o catálogo mais citado do mundo pra vulnerabilidades aplicacionais. O OWASP Top 10:2025 foi atualizado em novembro de 2025 com duas categorias novas: A03 Software Supply Chain Failures (pós-incidente SolarWinds + log4j + XZ Utils) e A10 Mishandling of Exceptional Conditions. Scoring feito pela CVSS v3.1 da FIRST.org.

O que é auditoria de segurança.

Auditoria de segurança aplicacional (AppSec) é o processo sistemático de identificar, classificar e remediar vulnerabilidades em código, infraestrutura e dependências. A OWASP Foundation, fundação sem-fins-lucrativos dedicada a segurança aplicacional desde 2001, mantém o catálogo de referência. Auditoria automatizada moderna combina 3 técnicas:

  • DAST (Dynamic Application Security Testing) · scan ativo de endpoints · Nuclei + templates OWASP
  • SAST (Static Application Security Testing) · análise de código-fonte · Semgrep, CodeQL, Snyk
  • SCA (Software Composition Analysis) · vulnerabilidades em dependências · Dependabot, Renovate, OSV Scanner

O Security Radar foca em DAST contínuo · complementar a SAST/SCA que ficam no pipeline CI/CD do cliente. PTES (Penetration Testing Execution Standard) é a metodologia guarda-chuva que organiza esse trabalho em 7 fases: pre-engagement, intelligence gathering, threat modeling, vuln analysis, exploitation, post-exploitation, reporting.

Catálogos canônicos usados.

OWASP Top 10:2025

10 categorias de risco ordenadas por incidência real. Novidades 2025: A03 Supply Chain + A10 Exceptional Conditions. Atualizado a cada 4 anos.

CWE Top 25

Common Weakness Enumeration da MITRE · 25 fraquezas de software mais críticas. Granular (CWE-79 = XSS, CWE-89 = SQLi). Complementa OWASP.

CVE / NVD

Vulnerabilidades específicas publicadas · National Vulnerability Database (NIST). Cada CVE tem score CVSS + CWE mapeado.

Incidentes que marcaram 2020-2025.

  • SolarWinds (2020) · supply chain attack · trojanized update comprometeu 18k clientes incluindo agências US · motivou A03 no Top 10:2025
  • log4j / Log4Shell (2021) · CVE-2021-44228 · remote code execution via JNDI · afetou milhões de apps Java
  • XZ Utils (2024) · backdoor inserido por contributor malicioso em ferramenta OSS usada por distros Linux · descoberto por acidente · reforçou urgência de SCA
  • MOVEit Transfer (2023) · CVE-2023-34362 · SQL injection em ferramenta de file transfer · afetou 2.500+ organizações
Perguntas que estão no ar

Auditoria · dúvidas frequentes.

OWASP é o mesmo que SAST?
Não. OWASP é fundação + catálogo (Top 10, ASVS, SAMM). SAST/DAST/SCA são técnicas de teste. OWASP define o que testar · SAST/DAST/SCA definem como.
Preciso de certificação ISO 27001 pra usar OWASP?
Não. OWASP é catálogo técnico. ISO 27001 é certificação de sistema de gestão (comparativo ISO vs NIST). São complementares · ISO formaliza, OWASP informa.
Scanner automatizado substitui pentest manual?
Não. Scanner cobre catálogo OWASP + CVEs. Pentest manual é melhor pra lógica de negócio, abuse cases, chained exploits. Complementares.
Com que frequência rodar DAST?
Sinal grátis: 1x/semana. Radar: diário. Enterprise: contínuo a cada commit via webhook CI/CD. Frequência maior = detecção mais rápida de regressões.
BOLA e IDOR são a mesma coisa?
IDOR (Insecure Direct Object Reference) é o conceito geral · BOLA (Broken Object Level Authorization) é a nomenclatura OWASP API Security. Ambos caem em A01 Broken Access Control no Top 10:2025.
Indícia emite relatório PTES?
Parcialmente. Export em PDF assinado SHA-256 cobre vuln analysis + reporting (fases 4 e 7 PTES). Fases 2-3 (intel gathering + threat modeling) são manuais · acoplamos com parceiros pentest.
§ 3 clusters · aprofunde

Leituras relacionadas.

§ CLUSTER · II OWASP Top 10:2025 10 categorias · A03 Supply Chain + A10 Exceptional Conditions novos · CWE refs. § CLUSTER · III CVSS scoring FIRST.org · 8 métricas Base · v3.1 dominante + v4.0 suplementar. § CLUSTER · IV Mobile Top 10 OWASP MASVS + MSTG · M1-M10 · padrão de teste mobile.