Top 10
1. Injection
Injection flaw como SQL, ocorrem quando os dados não seguros são enviados a um intérprete como parte do comando ou consulta. Tenta-se enganar o interpretador que executará comandos suspeitos com o objetivo de burlar a segurança de software e coletar dados. O OWASP tem recomendações de como tratar Injection.
2. Cross-Site Scripting (XSS)
Segunda na lista do OWASP, está vulnerabilidade ocorre sempre que um aplicativo obtém dados não seguros e envia ao navegador web sem validação. A falha XSS permite executar scripts no navegador da vítima e pode-se roubar sessões do usuário ou redirecionar à sites fake ou mal intencionados.
3. Broken Authentication and Session Management
É um problema de segurança de software muito comum. Busca-se quebrar os mecanismos de autenticação e gerenciamento de sessão que por muitas vezes são implementadas de modo falho, permitindo assim o roubo de senhas, chaves, tokens de sessão ou falhas de execução que permitam assumir a identidade de outros usuários. Está há muito tempo na lista do OWASP
4. Insecure Direct Object References
Acontece quando o programador expõe uma referência a um objeto de implementação interna como um arquivo, diretório ou chave de banco de dados. Sem um mecanismo de segurança de software os invasores podem manipular estas referências para acessar dados não autorizados.
5. Cross-Site Request Forgery (CSRF)
Neste tipo de ataque o navegador da vítima envia uma requisição à uma aplicação web vulnerável como se fosse a vítima executando tal ação. Segundo o OWASP, este problema de segurança de software acontece em especial com cavalos de tróia.
6. Security Misconfiguration
Toda aplicação deve ter seu ambiente muito bem configurado e seguro. Deve-se ter cuidado com o framework, servidor de aplicação, servidor de serviços, servidor de dados, de componentes e outros. Todos estes devem ser configurados seguindo as boas práticas de segurança de software. Não se pode esquecer de manter os servidores