A OWASP (Open Worldwide Application Security Project) acaba de anunciar a nova edição do OWASP Top 10:2025, uma das listas mais reconhecidas no mundo quando o assunto é segurança de aplicações.
A cada atualização, o documento reflete as mudanças no cenário de ameaças, nas práticas de desenvolvimento e nas vulnerabilidades mais exploradas por cibercriminosos.
Mais do que uma lista de falhas técnicas, o OWASP Top 10 é uma bússola estratégica para equipes de AppSec, DevSecOps e desenvolvimento seguro, orientando como priorizar esforços de mitigação e reduzir riscos reais.
A versão 2025 traz duas novas categorias, uma consolidação e uma abordagem ainda mais voltada às causas raiz dos incidentes, e não apenas aos sintomas. Isso reforça um movimento importante na segurança moderna: focar no design seguro e na resiliência estrutural do software desde o início.
O que mudou na OWASP Top 10:2025?
Nesta nova edição, o OWASP baseou o ranking em dados coletados de milhares de aplicações testadas em todo o mundo, complementados por insights da comunidade de segurança. O resultado é uma visão ampla, que combina estatísticas reais com a experiência de profissionais que estão na linha de frente.
Entre as principais mudanças, estão:
- Duas novas categorias: “Software Supply Chain Failures” (falhas na cadeia de suprimentos de software) e “Mishandling of Exceptional Conditions” (falhas no tratamento de condições excepcionais);
- Uma consolidação importante: o Server-Side Request Forgery (SSRF) passa a integrar a categoria de Broken Access Control;
- Foco ampliado nas causas estruturais das vulnerabilidades, e não apenas em seus sintomas.
Segundo os dados do projeto, o levantamento analisou 589 CWEs (Common Weakness Enumerations) — quase o dobro da edição anterior — o que mostra o avanço na profundidade das análises e na diversidade de linguagens e frameworks considerados.
Os dez maiores riscos de segurança em aplicações para 2025
#1 – Broken Access Control (Controles de acesso quebrados)
Pelo segundo ciclo consecutivo, essa categoria lidera a lista. Em média, 3,73% das aplicações testadas apresentaram uma ou mais falhas de controle de acesso, o que permite a usuários não autorizados acessar, modificar ou excluir dados sensíveis.
Além de continuar no topo, essa categoria agora engloba também vulnerabilidades de Server-Side Request Forgery (SSRF), reforçando a importância do controle de permissões e da segmentação de privilégios.
#2 – Security Misconfiguration (Configuração insegura)
Subiu do quinto lugar (em 2021) para o segundo em 2025. O aumento da complexidade das configurações de software e infraestrutura contribuiu para a escalada.
Segundo o OWASP, 3% das aplicações testadas apresentaram falhas de configuração, um problema agravado pela adoção crescente de ambientes híbridos e conteinerizados.
#3 – Software Supply Chain Failures (Falhas na cadeia de suprimentos de software)
Essa é uma das novidades de 2025. Essa categoria expande o antigo tema “Componentes vulneráveis e desatualizados” para abranger todo o ecossistema de dependências, bibliotecas, pipelines de build e distribuição.
Apesar de aparecer com poucos registros de teste, foi a categoria mais votada pela comunidade como uma das maiores preocupações atuais — especialmente após incidentes recentes que demonstraram o impacto catastrófico de falhas em dependências externas.
#4 – Cryptographic Failures (Falhas criptográficas)
Cai duas posições (de #2 para #4), mas segue entre os principais riscos. Em 3,8% das aplicações testadas, foram encontradas falhas relacionadas a chaves fracas, uso inadequado de algoritmos, ausência de TLS ou armazenamento incorreto de dados sensíveis.
Essas falhas continuam entre as mais exploradas por atacantes, muitas vezes levando à exposição de dados confidenciais.
#5 – Injection (Injeção)
Clássica no Top 10, caiu de #3 para #5, mas ainda é uma das vulnerabilidades mais testadas e documentadas. O termo abrange desde falhas comuns como SQL Injection até Cross-Site Scripting (XSS).
Apesar da redução de posição, a injeção continua sendo uma ameaça de alto impacto, especialmente em sistemas legados e APIs expostas.
#6 – Insecure Design (Design inseguro)
Introduzida em 2021, essa categoria caiu de #4 para #6. O OWASP aponta que a indústria evoluiu em práticas de modelagem de ameaças e design seguro, mas ainda há lacunas no planejamento de segurança desde as fases iniciais do ciclo de desenvolvimento.
#7 – Authentication Failures (Falhas de autenticação)
Permanece em #7, com uma leve alteração no nome (antes “Identification and Authentication Failures”).
O uso de frameworks padronizados de autenticação tem ajudado a reduzir incidentes, mas falhas em tokens, senhas armazenadas incorretamente e bypass de autenticação continuam sendo causas recorrentes de brechas em sistemas corporativos.
#8 – Software or Data Integrity Failures (Falhas de integridade de software ou dados)
Mantém-se na oitava posição. Essa categoria trata da falta de verificação da integridade e da confiança em componentes, código e dados, um ponto essencial em ambientes CI/CD e DevOps.
#9 – Logging & Alerting Failures (Falhas de registro e alerta)
Continua em #9, com foco ampliado na importância de alertas efetivos. O OWASP reforça que logs sem alertas são ineficazes, já que não geram ações imediatas de resposta a incidentes.
Embora subestimada, essa categoria é crítica para detecção precoce e resposta a ataques, especialmente em ambientes com SIEM e SOAR.
#10 – Mishandling of Exceptional Conditions (Manejo incorreto de condições excepcionais)
Nova categoria na edição de 2025, foca em erros lógicos, falhas em tratamento de exceções, “fail open” e condições anormais de sistema.
Essas falhas, apesar de pouco discutidas, podem causar interrupções graves ou permitir que ataques bypassarem controles de segurança — um risco crescente em sistemas complexos e integrados.
O que a nova edição revela sobre o futuro da segurança de aplicações?
A OWASP deixa claro que o objetivo da nova edição é ir além das falhas pontuais e priorizar causas estruturais, incentivando as empresas a enxergar segurança como parte do design, e não apenas do teste final.
Ao reunir dados de mais de 175 mil vulnerabilidades mapeadas na NVD (National Vulnerability Database), o relatório combina ciência de dados, experiência prática e uma análise equilibrada entre impacto técnico e explorabilidade.
O OWASP reconhece que os dados refletem o “passado mensurável” da segurança — ou seja, aquilo que as ferramentas conseguem testar em larga escala. Por isso, duas das dez categorias são escolhidas com base em votações da comunidade, permitindo capturar tendências emergentes que ainda não aparecem nas estatísticas automatizadas.
Essa combinação entre dados, comunidade e análise técnica torna o OWASP Top 10:2025 não apenas um relatório de vulnerabilidades, mas um termômetro da maturidade da indústria de segurança de software.
Segurança desde o código: o papel das empresas e desenvolvedores
A atualização do OWASP reforça uma mensagem central: a segurança precisa ser integrada ao ciclo de vida do software. Do planejamento à produção, cada etapa — design, desenvolvimento, integração e monitoramento — deve ser orientada por políticas e controles consistentes.
Investir em práticas de DevSecOps, testes contínuos e auditorias de código é o caminho para reduzir a exposição a vulnerabilidades e fortalecer a resiliência das aplicações corporativas.
Um guia indispensável para o ecossistema digital
O OWASP Top 10:2025 não é apenas uma atualização técnica, mas um alerta estratégico para empresas que desenvolvem, integram ou operam aplicações críticas.
As mudanças mostram que a superfície de ataque está se expandindo para além do código — alcançando a cadeia de suprimentos, o design de sistemas e até o tratamento de erros.
Em um cenário onde cada dependência pode se tornar um ponto de falha, adotar frameworks de segurança, testar continuamente e investir em visibilidade são passos essenciais para garantir a continuidade do negócio.
A Clavis, especialista em gestão de vulnerabilidades, testes de invasão (Pentest) e monitoramento contínuo, auxilia organizações a implementar práticas de segurança que seguem as diretrizes da OWASP.
Com nossa plataforma e serviços integrados, você pode identificar, priorizar e mitigar riscos antes que se tornem incidentes — transformando a segurança em vantagem competitiva.
