O OWASP Top 10 é a referência mais adotada para avaliação de segurança em aplicações web. A versão 2025 traz mudanças significativas, refletindo a evolução do panorama de ameaças — especialmente com o crescimento das APIs, o uso massivo de frameworks de terceiros e a consolidação de arquiteturas cloud-native.
As principais mudanças no OWASP Top 10 2025
A atualização mais relevante é a consolidação de categorias anteriormente separadas em riscos mais abrangentes. Broken Access Control manteve-se na primeira posição pelo terceiro ano consecutivo, confirmando que falhas de autorização continuam sendo o vetor de ataque mais prevalente em aplicações modernas.
Novidades que merecem atenção especial:
Server-Side Request Forgery (SSRF) ganhou posição de destaque, refletindo o volume crescente de ataques contra workloads em cloud que abusam de metadata endpoints de AWS, Azure e GCP.
Falhas em APIs passaram a ter categoria própria, reconhecendo que REST e GraphQL expõem superfícies de ataque distintas das aplicações web tradicionais.
Componentes vulneráveis subiu na lista, impulsionado por eventos como Log4Shell e a dependência crescente de bibliotecas open-source.
O que isso significa para o seu pentest
Uma avaliação de segurança que não cobre o OWASP Top 10 2025 está desatualizada. Ao contratar um serviço de Web App Security, exija que a proposta especifique explicitamente como cada categoria do OWASP será testada — e com quais técnicas manuais além de ferramentas automatizadas.
Scanners como Burp Suite, OWASP ZAP e Nikto são úteis, mas identificam apenas os problemas mais óbvios. As vulnerabilidades de maior impacto — lógica de negócio quebrada, escalada de privilégios horizontal, IDOR em endpoints não documentados — só são encontradas por testes manuais conduzidos por profissionais experientes.
Broken Access Control: por que ainda lidera o ranking
Mais de 94% das aplicações testadas pela OWASP apresentam alguma forma de falha de controle de acesso. O problema é sistêmico: developers implementam autenticação corretamente, mas esquecem de verificar autorização em cada endpoint. O resultado são vulnerabilidades como:
IDOR (Insecure Direct Object Reference): acessar dados de outros usuários apenas alterando um ID na URL
Escalada de privilégios vertical: usuário comum executando funcionalidades de administrador
Bypass de autorização via manipulação de JWT, cookies de sessão ou parâmetros ocultos
Injection: além do SQL
Injection continua relevante, mas o foco mudou. SQL Injection clássico tornou-se raro em aplicações modernas que usam ORMs. O risco real em 2025 está em:
NoSQL Injection: MongoDB e outros bancos não-relacionais têm vetores de injeção específicos frequentemente ignorados
SSTI (Server-Side Template Injection): Templates Jinja2, Twig e FreeMarker podem ser explorados para execução remota de código
Command Injection: Chamadas ao sistema operacional sem sanitização adequada
Como usar o OWASP Top 10 no seu RFP
Ao elaborar um RFP de Web App Security, inclua linguagem explícita como: "O teste deve cobrir no mínimo todas as categorias do OWASP Top 10 2025, com evidências documentadas de cada vetor testado." A Rondo Security conduz todos os testes de aplicação web seguindo o OWASP Testing Guide completo.
