A06:2021 - Componentes Vulneráveis e Desatualizados

(Vulnerable and Outdated Components)

"Corrigi as vulnerabilidades OWASP do meu código. Agora não preciso mais me preocupar, certo?"

ERRADO!

As suas dependências estão atualizadas?

Pode-se corrigir todo o código escrito por você, mas e o código que você não escreveu?

Definição

A06:2021 aborda os riscos de utilizar bibliotecas, frameworks, ou outros componentes desatualizados, que podem conter vulnerabilidades conhecidas, expondo a aplicação a ataques.

Impacto

• Maior exposição a ataques conhecidos.
• Comprometimento de todo o sistema devido a falhas de componentes.
• Dificuldade em manter a segurança da aplicação no longo prazo.

Exemplos de Vulnerabilidades

• Falhas em dependências de gerenciadores de pacotes (npm, pip, composer ou Maven).
• Exploração de plugins WordPress desatualizados.
• Vulnerabilidades em bibliotecas como Log4j (Log4Shell).

Você provavelmente está vulnerável se:

• Não souber as versões das suas dependências (incluindo dependências indiretas).
• O software estiver desatualizado (OS, Application Server, DBMS, entre outros).
• Você não faz varreduras por vulnerabilidades regularmente e não acompanha boletins de segurança dos componentes que usa.
• Não testa compatibilidade de bibliotecas.

• A05:2021 - Configuração Incorreta de Segurança

  • Configuração dos cabeçalhos.
  • Recursos desabilitados ou não configurados.
  • Portas, serviços, páginas ou privilégios desnecessários ativados.
  • Permissões configuradas incorretamente.
  • Mensagens de erro com excesso de informações para os usuários.

Prevenção

• Remover dependências, recursos, arquivos, componentes e documentação não utilizados.
• Manter bibliotecas e componentes sempre atualizados.
• Monitorar vulnerabilidades conhecidas em dependências.
• Utilizar ferramentas de análise de dependências (ex: Snyk, Dependabot).

Referências

LinkedIn