Os Riscos OWASP Top 10 Mais Ignorados em 2025

Munique, Alemanha - 19 de setembro de 2025

Porque as organizações ainda falham em endereçar vulnerabilidades web críticas

Apesar da ampla conscientização do OWASP Top 10, testes recentes de penetração de aplicações web da Rasotec mostram que muitas organizações ainda ignoram vários dos riscos mais impactantes. Estas omissões raramente se devem a falta de conhecimento. Em vez disso, resultam de complexidade, prioridades mal alinhadas e dependência excessiva de ferramentas de análise automatizadas.

O OWASP Top 10 representa os riscos de segurança web mais comuns e críticos. No entanto, mesmo organizações maduras frequentemente subestimam certas entradas, deixando lacunas exploráveis. Estes riscos ignorados normalmente não são erros de configuração técnica, mas falhas de lógica de negócio, problemas de controlo de acesso e integrações inseguras que requerem testes liderados por humanos para detetar.

Controlo de Acesso Quebrado (A01:2021) permanece o risco mais consistentemente mal abordado nos achados da Rasotec. Aplicações frequentemente dependem de verificações do lado do cliente ou aplicação incompleta de funções, permitindo escalada de privilégios, acesso horizontal a dados ou ações administrativas sem autorização. Analisadores automatizados raramente detetam estas questões porque requerem compreensão contextual da lógica da aplicação.

Desenho Inseguro (A04:2021) é outro risco que as organizações tendem a ignorar. Segurança é frequentemente adicionada após desenvolvimento em vez de incorporada desde o início. Isto resulta em fluxos de autorização frágeis, fronteiras de confiança inseguras e controlos de segurança em falta. Tais falhas são invisíveis à análise estática e requerem modelação de ameaças e avaliação manual para descobrir.

"Ferramentas automatizadas ignoram o que os atacantes mais exploram: falhas de lógica e lacunas de desenho. Os nossos testes expõem-nas antes que se tornem incidentes," disse Rick Grassmann, Chief Executive Officer da Rasotec.

Componentes Vulneráveis e Desatualizados (A06:2021) são amplamente conhecidos mas frequentemente minimizados. Equipas assumem que gestores de pacotes e imagens base de contentores estão atualizados, mas a Rasotec frequentemente encontra bibliotecas não corrigidas ou componentes órfãos em produção. Atacantes exploram estas lacunas porque são previsíveis, bem documentadas e fáceis de automatizar.

Falhas de Registo e Monitorização de Segurança (A09:2021) são especialmente problemáticas durante resposta a incidentes. Sem registos de auditoria adequados, organizações não podem detetar ou reconstruir ataques, levando a longos tempos de permanência. A Rasotec observa frequentemente trilhas de auditoria de login em falta, registo ausente de ações administrativas e sem alertas sobre atividade suspeita, dando cobertura operacional a atacantes.

Estes achados destacam um padrão recorrente: organizações investem em medidas de segurança superficiais mas negligenciam fraquezas estruturais que requerem análise manual. Ferramentas automatizadas desempenham um papel importante, mas não conseguem avaliar lógica de negócio, regras de acesso contextuais ou suposições de desenho. Apenas testes de penetração direcionados e liderados por humanos conseguem descobrir estas falhas de forma fiável.

A abordagem boutique da Rasotec foca-se em análise manual aprofundada de aplicações web complexas, simulando comportamento real de atacantes em vez de depender apenas de analisadores para identificar riscos OWASP Top 10 ignorados que representam o maior impacto no mundo real.

Sobre a Rasotec: A Rasotec é uma das parceiras mais próximas da CypSec e uma empresa boutique de segurança especializada em testes de penetração manuais de ambientes web, móveis e de infraestrutura complexos. A sua equipa foca-se em descobrir falhas de lógica, caminhos de ataque encadeados e vulnerabilidades de alto impacto que ferramentas automatizadas ignoram. Para mais informações, visite rasotec.com.

Contacto de Imprensa: Rick Grassmann, Chief Executive Officer da Rasotec - rick.grassmann@rasotec.com.