Olá, e boas-vindas a mais um curso na Alura. Nós somos convidados a participar deste curso focado no OWASP Top 10, versão 2025. Esta versão ainda não foi divulgada como final, estando no Release Candidate, mas já podemos conhecer as mudanças em relação à versão 2021, quais vulnerabilidades novas foram incluídas, quais subiram ou caíram no ranking, entre outras informações. Além disso, vamos apresentar o que é a OWASP e como essa organização funciona.
Este curso é destinado a quem trabalha ou está estudando desenvolvimento de software, independentemente da linguagem de programação, das tecnologias utilizadas e do papel desempenhado, seja escrevendo código, desenvolvendo sistemas, atuando como QA na parte de testes manuais ou automatizados, ou na infraestrutura com DevOps. O objetivo é aprofundar o conhecimento em segurança de aplicações.
A grande pergunta que nos guia é: como desenvolver softwares seguros? Em algum momento da carreira, essa preocupação surge. Com tantos ataques cibernéticos, sistemas invadidos e informações vazadas, é cada vez mais comum enfrentar essas situações. Quem trabalha diretamente com programação e desenvolvimento de software também é responsável pela segurança. Será que o código que escrevemos, testamos e colocamos em produção é seguro? Essa preocupação é inevitável.
Ao começar a estudar segurança com foco em aplicações, nos deparamos com o termo OWASP, uma organização que existe há mais de 20 anos, focada em segurança de aplicações. Não precisamos começar do zero, pois já existe um guia com técnicas, ferramentas e práticas voltadas para a segurança de aplicações. Precisamos apenas conhecer essas técnicas e boas práticas para escrever um código seguro.
Neste curso, vamos explorar o que é a OWASP, quando surgiu, para que serve e o que faz. Vamos conhecer um de seus principais projetos, o OWASP Top 10, que é uma lista das 10 principais vulnerabilidades mais comuns em aplicações. O foco maior é em aplicações web, mas também existem projetos voltados para API, segurança móvel e outros tipos de software. Nosso foco será no OWASP Top 10, voltado para aplicações web.
Se desenvolvemos aplicações web, seja server-side ou client-side, um SPA com front-end e back-end separados, ou uma API REST, vamos aprender como o Top 10 pode nos auxiliar a entender as principais vulnerabilidades, como ocorrem e como identificá-las no código para corrigi-las, caso estejam presentes.
Olá! Meu nome é Rodrigo da Silva Ferreira Caneppele, sou coordenador de conteúdos na Alura, e irei te acompanhar ao longo deste curso sobre o OWASP Top 10.
Audiodescrição: Rodrigo é um homem de pele branca, com cabelo castanho claro. Ele veste uma camisa vermelha e está gravando em seu escritório, com uma parede iluminada ao fundo.
Neste curso, vamos entender o que é a fundação OWASP, para que ela serve, como funciona e como auxilia pessoas desenvolvedoras de software a tornar seu código mais seguro. Exploraremos o OWASP Top 10, que é um relatório com as dez principais vulnerabilidades. A última versão publicada é a de 2021, mas já existe uma prévia da versão de 2025, que está em fase de revisão. Vamos focar na versão de 2025, comparando-a com a de 2021 para entender as mudanças, como quais vulnerabilidades se tornaram mais críticas e quais estão menos críticas.
O foco do curso será nas três principais vulnerabilidades do Top 10 de 2025. Também conheceremos as novas categorias que entraram nessa versão e que não estavam presentes em 2021. Este curso é um Flash Skill, um minicurso, e o objetivo não é torná-lo um especialista no OWASP Top 10, mas sim dar o pontapé inicial para que você conheça o que é segurança em aplicações, o que é o OWASP e as três principais vulnerabilidades da versão 2025.
Se você gostar do curso e tiver interesse em se aprofundar, ao final farei um convite especial para que você explore mais sobre segurança de aplicações, seja web, mobile ou qualquer outro tipo. Mostrarei como, dentro da Alura, você pode aprofundar seus estudos além do OWASP Top 10.
Sou formado em Sistemas de Informação pela Universidade Católica de Brasília e atualmente estou cursando graduação em Defesa Cibernética na FIAP. Trabalho com desenvolvimento de software desde 2008 e tenho grande interesse em segurança. Escrevi um livro sobre segurança em aplicações web e outro sobre segurança para iniciantes, "Segurança Digital para Todos", publicado pela editora Casa do Código. Desde 2012, estou na Alura, onde já fui instrutor, gestor de instrutores e agora sou coordenador de conteúdos, especialmente de cibersegurança.
Convido você a conhecer este curso, onde exploraremos o OWASP Top 10 e, ao final, farei um convite para que você se aprofunde ainda mais. Vamos estudar segurança em aplicações? Nos vemos no próximo vídeo!
No vídeo anterior, discutimos a questão de como desenvolver softwares seguros. Para aqueles que trabalham direta ou indiretamente com desenvolvimento de software, a preocupação com segurança é inevitável em algum momento da carreira. Atualmente, ataques cibernéticos estão cada vez mais comuns, com aplicações sendo invadidas e dados sendo roubados ou vazados na internet, causando prejuízos financeiros e à reputação das empresas. A segurança, portanto, é uma área em destaque, crescendo com muitas oportunidades no mercado, e isso afeta também as pessoas que trabalham com desenvolvimento de software. O software é um dos vetores que os atacantes podem tentar burlar para acessar recursos gerenciados por ele, como informações, redes, servidores e bancos de dados.
Em algum momento, nos deparamos com a questão de como implementar segurança em uma aplicação. Durante nossos estudos, percebemos que segurança é um assunto profundo e não se resume apenas a implementar uma tela de login e cadastro de usuários. Certamente, nos deparamos com a OWASP, uma organização que mantém o OWASP Top 10, um projeto que lista as 10 principais vulnerabilidades comuns em aplicações.
Antes de entendermos o que é o OWASP Top 10, é importante conhecer a OWASP. Trata-se de uma fundação sem fins lucrativos criada em 2001, com o objetivo de divulgar informações e ferramentas de segurança de forma aberta e gratuita. No final dos anos 90 e início dos anos 2000, a internet não era como hoje, e o acesso à informação era limitado. Naquela época, o foco era em aplicações web, e o mercado estava em transição do desenvolvimento desktop para web. A OWASP surgiu para disponibilizar informações de segurança de forma acessível, especialmente para pequenas empresas e pessoas desenvolvedoras que não tinham acesso a recursos avançados.
A sigla OWASP significa Open Web Application Security Project, ou Projeto Aberto de Segurança em Aplicações Web. O "Open" refere-se à disponibilização gratuita e open source de recursos e ferramentas. O "Web" era o foco inicial, mas em 2023, a OWASP mudou a sigla para Open Worldwide Application Security Project, refletindo a abrangência global e o foco em segurança de qualquer tipo de software, não apenas web.
A OWASP é uma organização global focada em segurança de aplicações, seja web, mobile, inteligência artificial, IoT, APIs, entre outros. Um dos seus projetos é o Top 10, que vamos explorar mais adiante. A OWASP é uma fundação madura, com quase 25 anos de história, e seu objetivo é criar uma comunidade de especialistas em segurança de aplicações, oferecendo recursos e ferramentas gratuitas e open source. Seus padrões são amplamente recomendados e utilizados mundialmente.
Ao estudar segurança de aplicações, inevitavelmente nos deparamos com a OWASP e seus projetos. No site da OWASP, encontramos a visão e missão da organização. A visão é "No More Insecure Software" (Software inseguro nunca mais), e a missão é ser uma comunidade aberta que empodera pessoas desenvolvedoras e empresas com educação, ferramentas, documentações e colaboração.
Na prática, a OWASP cria diversos projetos, como o Top 10, que lista as 10 principais vulnerabilidades, além de guias de boas práticas, padrões de segurança, modelos de maturidade e ferramentas para análise de código-fonte. A comunidade da OWASP desenvolve esses recursos para tornar as aplicações mais seguras, alinhando-se à sua visão de eliminar softwares inseguros.
Existem vários chapters (capítulos), que são grupos locais em diversas cidades onde as pessoas organizam reuniões para realizar palestras, meet-ups e eventos, com o objetivo de criar um relacionamento entre essas pessoas, possibilitando a formação de uma rede de contatos e a divulgação de conhecimentos sobre segurança de aplicações. Esses eventos ocorrem em vários países, promovendo a educação nessas comunidades por meio de palestras e workshops. Esse é o grande foco da OWASP.
Para conhecer mais sobre a OWASP, podemos acessar o site owasp.org. No site, há um menu superior que apresenta informações sobre os projetos, chapters, eventos e uma seção "About", que fala sobre a OWASP. No Brasil, há chapters em várias cidades, como Brasília, São Paulo, Porto Alegre e Fortaleza. A participação é gratuita, e qualquer pessoa pode criar um grupo local, desde que tenha vontade e disponibilidade para discutir e fomentar a segurança de aplicações em sua comunidade regional.
O site também lista os próximos eventos da OWASP e possui uma campanha de doação de sangue em destaque, devido a um membro da diretoria ter descoberto recentemente que tem leucemia. A OWASP é uma comunidade aberta, sem fins lucrativos, que vive de doações e patrocínios de empresas. Existem formas de se tornar membro e contribuir com a comunidade.
No menu "Projects", podemos ver todos os projetos da OWASP. O mais famoso é o "Top 10", que será abordado no próximo vídeo. Além do "Top 10", a OWASP possui dezenas de outros projetos, como o "Application Security Verification Standard", um padrão de verificação de segurança que pode ser adotado em empresas e projetos para melhorar a segurança. Há também projetos focados em inteligência artificial, como o "Dependency Track" e o "Juice Shop", que é um projeto com vulnerabilidades para treinamento. A OWASP oferece diversos guias, relatórios e padronizações que podem ser integrados em aplicações para encontrar vulnerabilidades.
Na seção "Chapters", podemos explorar as comunidades locais. No Brasil, há chapters em cidades como Belém, Belo Horizonte, Brasília, Curitiba, e muitas outras. Ao clicar em um chapter, somos direcionados para a página da comunidade, onde encontramos informações sobre o funcionamento, eventos e como participar. Não é necessário ser membro da OWASP para participar dos eventos organizados pelos chapters.
A página de eventos no menu superior mostra os eventos regionais e globais da OWASP. Por exemplo, em 2026, haverá um evento global na União Europeia, em Viena, na Áustria. Esses eventos são maiores e incluem palestras e workshops de diversas empresas. Já os eventos dos chapters são menores e focados na comunidade local.
Na seção "About", podemos conhecer mais sobre a OWASP, que é uma organização sem fins lucrativos dedicada a melhorar a segurança de software. A OWASP possui mais de 250 chapters e dezenas de milhares de membros em todo o mundo. A seção também apresenta a visão, missão, valores e informações de contato da organização, além de destacar as empresas patrocinadoras.
O objetivo deste vídeo foi apresentar a OWASP e sua importância para quem trabalha com segurança de software. No próximo vídeo, vamos explorar o "Top 10", o principal projeto da OWASP, que serve como um guia para conhecer as principais vulnerabilidades. Vamos também conhecer a versão 2025, que está em rascunho e prestes a ser lançada. Nos vemos no próximo vídeo.
Agora, vamos conhecer o OWASP Top 10, um dos principais projetos da OWASP. Sempre que nos deparamos com a OWASP, acabamos também nos deparando com este projeto, que é o Top 10. O Top 10 é uma lista das 10 principais vulnerabilidades mais comuns encontradas em aplicações ao redor do mundo. O OWASP Top 10 é um documento de conscientização, não apenas um guia. Ele não se limita a listar essas 10 vulnerabilidades, mas serve como um consenso baseado em pesquisa e análise para nos conscientizar sobre as principais vulnerabilidades do momento.
Neste guia, entendemos quais são essas 10 vulnerabilidades, como funcionam, como ocorrem em uma aplicação e como podemos nos proteger. O Top 10 não é apenas uma lista, mas explica cada uma delas, o que são e como funcionam. Vamos explorar o site para entender melhor. Ele conscientiza sobre os 10 riscos mais críticos para a segurança de aplicações, com foco maior em aplicações web, embora existam outros relatórios para segurança de APIs e segurança móvel.
Hoje em dia, é comum desenvolver aplicações web, seja uma aplicação server-side ou com front-end separado do back-end, consumindo via REST API, GraphQL, entre outros. O Top 10 abrange essas categorias. Este Top 10 é atualizado com certa frequência. Atualmente, existe a versão de 2025, que ainda está em fase de ajustes, com a comunidade avaliando e dando feedbacks. A última versão final publicada é de 2021, que trouxe novidades em relação à versão anterior de 2017. Não é um processo rápido, pois o mercado precisa de tempo para evoluir, amadurecer e adaptar ferramentas, o que leva a mudanças na ordem das vulnerabilidades.
O OWASP Top 10 é uma lista das 10 vulnerabilidades mais críticas e comuns. Como a OWASP chega a essa conclusão? Eles realizam uma análise de dados extensa e demorada, que leva meses. Coletam dados do CVE, um catálogo de vulnerabilidades e exposições de dados, e analisam relatórios de ferramentas de testes automatizados, como DAST e SAST, que analisam o código-fonte e realizam testes de intrusão em aplicações. Com base nesses dados, a OWASP categoriza as vulnerabilidades, utilizando ferramentas de machine learning e análise de dados para tratar as informações.
Esse processo envolve ciência de dados para coletar, tratar, filtrar e excluir informações irrelevantes. Após isso, criam categorias de vulnerabilidades baseadas no mercado e no que está acontecendo no mundo. Chegam a 12 categorias, mas escolhem 8 com base em dados quantitativos e 2 com base em pesquisa com a comunidade. A partir de 2021, começaram a ouvir a comunidade para entender quais vulnerabilidades são comuns atualmente. Isso é importante para olhar não apenas para o passado, mas também para o presente.
Eles analisam o impacto das vulnerabilidades usando o CVSS, um sistema de pontuação que mede o impacto de uma vulnerabilidade. Termos como CVE, CWE e CVSS são importantes ao estudar segurança de aplicações. O processo não é simples e envolve meses de trabalho. A versão de 2025 já está em execução há meses, com uma versão Release Candidate lançada para feedbacks antes da versão final.
Esse processo de categorização e compilação das 10 vulnerabilidades é complexo e leva tempo. A pesquisa com a comunidade é crucial para não apenas olhar para o passado, mas também para o presente e o futuro, considerando novas vulnerabilidades e tendências emergentes.
Nada melhor do que a própria comunidade da OWASP para expressar suas opiniões sobre as vulnerabilidades recorrentes, o que concordam ou discordam. É a voz dos especialistas pensando no presente e no futuro. Após essa análise e compilação, eles abrem uma pesquisa para a comunidade responder sobre as vulnerabilidades em foco no momento. Os profissionais de segurança e desenvolvimento, com sua experiência, têm uma visão das vulnerabilidades emergentes. O resultado é que duas das categorias são extraídas dessa pesquisa da comunidade. A filosofia é ser data informed (informado por dados), não data driven (guiado por dados). Os dados servem para informar, não para definir. Eles fornecem uma base, mas são usados como insumo, não como um fim em si.
Os dados olham para o passado, as CVEs e vulnerabilidades conhecidas registram o que já aconteceu, mas os especialistas da comunidade antecipam o futuro, lidando com ameaças emergentes e tendências que as análises tradicionais não captam. Por isso, é importante ter essa visão das tendências da comunidade. O Top 10 não é um teto, mas um piso. Não devemos pensar que proteger uma aplicação é apenas verificar as 10 vulnerabilidades listadas. Algumas podem não fazer sentido dependendo do tipo de aplicação, e outras vulnerabilidades podem não estar no relatório. O Top 10 representa o mínimo necessário, não a segurança completa. É o ponto de partida, não o destino final para garantir segurança nas aplicações.
Agora, vamos explorar o site da OWASP e conhecer o projeto Top 10. No site, no menu superior, encontramos "Projects" e, ao clicar, somos direcionados à página do OWASP Top 10. O projeto é descrito, com uma nota importante sobre a versão de 2025, cujo Release Candidate foi anunciado em 6 de novembro. Embora ainda não seja a versão final, é um beta para análise e feedbacks, com poucas chances de mudanças drásticas. A versão final provavelmente será semelhante ao Release Candidate.
Na página do OWASP Top 10 2021, encontramos informações sobre o relatório, como entender e navegar pelas 10 vulnerabilidades. O menu à esquerda oferece detalhes sobre a OWASP e como usar o guia do Top 10 em empresas e equipes. A lista das 10 vulnerabilidades está disponível, com a primeira sendo "Broken Access Control", a mais comum e crítica em 2021. Outras incluem falhas de criptografia, injeção, design inseguro, configurações de segurança inadequadas, uso de componentes desatualizados, falhas de autenticação, integridade de dados, monitoramento e SSRF (Server Side Request Forgery).
Ao clicar em uma vulnerabilidade, como a A1, encontramos uma tabela com dados e justificativas, como as 34 fraquezas relacionadas ao "Broken Access Control". A página oferece uma visão geral, explicações, exemplos de falhas e prevenção, além de links de referência para aprofundamento. É uma fonte valiosa de informações, explicando cada vulnerabilidade, oferecendo exemplos e recursos para estudo.
O projeto Top 10 é uma referência global para proteger aplicações, oferecendo um guia e lições sobre as 10 vulnerabilidades mais críticas. Embora o foco do curso seja a versão de 2025, que ainda não está finalizada, já temos um preview. No próximo vídeo, exploraremos a lista do Top 10 2025, entenderemos as mudanças e analisaremos as vulnerabilidades que se mantiveram ou mudaram nos últimos quatro anos. Nos vemos lá.
O curso Flash Skills: OWASP Top 10 2025 possui 136 minutos de vídeos, em um total de 21 atividades. Gostou? Conheça nossos outros cursos de Segurança em DevOps, ou leia nossos artigos de DevOps.
Matricule-se e comece a estudar com a gente hoje! Conheça outros tópicos abordados durante o curso:
Impulsione a sua carreira com os melhores cursos e faça parte da maior comunidade tech.
2 anos de Alura
Matricule-se no plano PLUS 24 e garanta:
Jornada de estudos progressiva que te guia desde os fundamentos até a atuação prática. Você acompanha sua evolução, entende os próximos passos e se aprofunda nos conteúdos com quem é referência no mercado.
Mobile, Programação, Front-end, DevOps, UX & Design, Marketing Digital, Data Science, Inovação & Gestão, Inteligência Artificial
Formações com mais de 1500 cursos atualizados e novos lançamentos semanais, em Programação, Inteligência Artificial, Front-end, UX & Design, Data Science, Mobile, DevOps e Inovação & Gestão.
A cada curso ou formação concluído, um novo certificado para turbinar seu currículo e LinkedIn.
No Discord, você participa de eventos exclusivos, pode tirar dúvidas em estudos colaborativos e ainda conta com mentorias em grupo com especialistas de diversas áreas.
Faça parte da maior comunidade Dev do país e crie conexões com mais de 120 mil pessoas no Discord.
Acesso ilimitado ao catálogo de Imersões da Alura para praticar conhecimentos em diferentes áreas.
Explore um universo de possibilidades na palma da sua mão. Baixe as aulas para assistir offline, onde e quando quiser.
Acelere o seu aprendizado com a IA da Alura e prepare-se para o mercado internacional.
2 anos de Alura
Todos os benefícios do PLUS 24 e mais vantagens exclusivas:
Luri é nossa inteligência artificial que tira dúvidas, dá exemplos práticos, corrige exercícios e ajuda a mergulhar ainda mais durante as aulas. Você pode conversar com a Luri até 100 mensagens por semana.
Aprenda um novo idioma e expanda seus horizontes profissionais. Cursos de Inglês, Espanhol e Inglês para Devs, 100% focado em tecnologia.
Para estudantes ultra comprometidos atingirem seu objetivo mais rápido.
2 anos de Alura
Todos os benefícios do PRO 24 e mais vantagens exclusivas:
Mensagens ilimitadas para estudar com a Luri, a IA da Alura, disponível 24hs para tirar suas dúvidas, dar exemplos práticos, corrigir exercícios e impulsionar seus estudos.
Envie imagens para a Luri e ela te ajuda a solucionar problemas, identificar erros, esclarecer gráficos, analisar design e muito mais.
Escolha os ebooks da Casa do Código, a editora da Alura, que apoiarão a sua jornada de aprendizado para sempre.
Conecte-se ao mercado com mentoria individual personalizada, vagas exclusivas e networking estratégico que impulsionam sua carreira tech para o próximo nível.
