OWASP Top 10:2025 · 10 categorias + 2 novidades

Q: Qual a diferença entre OWASP Top 10 e CWE?

OWASP agrega em 10 categorias amplas. CWE (Common Weakness Enumeration da MITRE) tem 600+ fraquezas granulares. Top 10 é framework didático · CWE é taxonomia técnica. Cada OWASP A* mapeia pra várias CWEs.

Q: Top 10 é regulatório?

Não diretamente, mas é referência de facto em contratos SOC 2, ISO 27001 e auditorias. ANPD cita em decisões · PCI-DSS exige cobertura explícita.

Q: O que muda em 2029 esperado?

Previsão: IA generativa attacks (prompt injection, model theft) viram categoria dedicada · baseado em OWASP LLM Top 10 atual. A03 Supply Chain deve expandir cobrindo supply chain de dados pra treinamento.

Os 10 categorias em detalhe.

A01

Broken Access Control Falhas de controle de acesso incluindo BOLA/IDOR · continua #1 em 2025 · CWE-22, CWE-284, CWE-862.

A02

Cryptographic Failures Exposição de dados por criptografia fraca ou ausente · TLS desatualizado · chaves hardcoded.

A03

Software Supply Chain Failures ✦ NOVO em 2025 · pós-SolarWinds + log4j + XZ Utils · componentes de terceiros comprometidos.

A04

Insecure Design Falhas de design antes da implementação · threat modeling ausente · ausência de defense-in-depth.

A05

Security Misconfiguration Headers ausentes · defaults inseguros · S3 buckets públicos · CORS permissivo.

A06

Vulnerable and Outdated Components Bibliotecas desatualizadas · SCA obrigatório · CVE tracking contínuo.

A07

Identification and Authentication Failures Autenticação fraca · password reset quebrado · MFA opcional em contas admin.

A08

Software and Data Integrity Failures CI/CD sem verificação de integridade · updates não-assinados · deserialização insegura.

A09

Security Logging and Monitoring Failures Ausência de logs de segurança · incidentes detectados tardiamente · sem SIEM.

A10

Mishandling of Exceptional Conditions ✦ NOVO em 2025 · erros revelando stack traces · race conditions · TOCTOU · fail-open patterns.

Por que A03 e A10 entraram em 2025.

A03 Software Supply Chain Failures consolidou categorias antes dispersas em A06 (componentes vulneráveis) e A08 (integridade). Motivador: sucessão de incidentes graves 2020-2024 · SolarWinds (2020, supply chain attack), log4j/Log4Shell (2021, CVE-2021-44228), XZ Utils (2024, backdoor inserido em dependência OSS). OWASP reconheceu que supply chain merece categoria dedicada.

A10 Mishandling of Exceptional Conditions é categoria nova cobrindo race conditions, TOCTOU (Time-of-check to time-of-use), fail-open patterns (sistema abre acesso em erro), stack traces expostos em produção, e tratamento inadequado de edge cases. Motivador: aumento de exploits que abusam de condições não-testadas.

Como scanner Indícia cobre.

O Security Radar executa Nuclei com templates mapeados pra cada categoria OWASP Top 10:2025. Cobertura real:

A01 · BOLA/IDOR via fuzzing de path + privilege escalation
A02 · TLS inspector + certificate transparency + weak ciphers
A03 · SCA via dependências em package.json/go.mod/requirements.txt
A05 · headers (HSTS, CSP, X-Frame) + CORS + default admin paths
A06 · CVE scan em dependências publicadas
A07 · MFA detection + password policy + session timeout
A09 · endpoints de logging + SIEM reachability

Categorias A04 (design), A08 (integrity) e A10 (exceptional conditions) são parcialmente cobertas · requerem code review manual (SAST) + threat modeling pra cobertura completa.

Perguntas que estão no ar

OWASP Top 10:2025 · dúvidas.

Top 10:2025 substitui Top 10:2021?

Sim. OWASP Foundation atualiza o Top 10 a cada 4 anos. A edição 2021 é considerada deprecated a partir de novembro 2025. Ferramentas + compliance devem migrar pra 2025.

Qual a diferença entre OWASP Top 10 e CWE?

OWASP agrega em 10 categorias amplas. CWE (Common Weakness Enumeration da MITRE) tem 600+ fraquezas granulares. Top 10 é framework didático · CWE é taxonomia técnica. Cada OWASP A* mapeia pra várias CWEs.

Meu scanner detecta A03 Supply Chain automaticamente?

Parcialmente. Scanner DAST detecta componentes identificáveis via fingerprint (versão exposta). Cobertura completa de A03 exige SCA (Software Composition Analysis) no pipeline CI/CD lendo package.json/go.mod diretamente.

Como priorizar remediação?

Ordem sugerida: (1) CVSS score ≥9 · (2) exposição pública · (3) dado sensível envolvido · (4) complexidade de exploração. OWASP Top 10:2025 é filtro inicial · CVSS refina a prioridade.

Top 10 é regulatório?

Não diretamente, mas é referência de facto em contratos SOC 2, ISO 27001 e auditorias. ANPD cita em decisões · PCI-DSS exige cobertura explícita.

O que muda em 2029 esperado?

Previsão: IA generativa attacks (prompt injection, model theft) viram categoria dedicada · baseado em OWASP LLM Top 10 atual. A03 Supply Chain deve expandir cobrindo supply chain de dados pra treinamento.