Ir para o conteúdo

Threat Scan

Faça um diagnóstico gratuito de exposição a ameaças de sua empresa!

Solicite seu diagnóstico

Faça um diagnóstico de exposição a ameaças

logo
  • SOLUÇÕES

    Plataforma unificada de cibersegurança

    Otimize sua gestão de segurança com uma plataforma unificada.

    SOC

    Inteligência focada em segurança da informação.

    Clavis SIEM

    Gerenciamento de eventos e informações de segurança.

    Gerenciamento da Superficie de Ataque

    Reduza pontos vulneráveis e proteja seus sistemas.

    Gestão de Vulnerabilidade

    Identifique e corrija vulnerabilidades antes de serem exploradas.

    Plataforma

    Otimize sua gestão de segurança com uma plataforma unificada, projetada para acabar com a dispersão de informações.

  • SERVIÇOS

    Teste de invasão (Pentest)

    Vulnerabilidades em suas redes, sistemas e aplicações.

    Resposta a incidentes e computação forense

    Perícia forense computacional.

    Desenvolvimento seguro de software

    Avalie a segurança de aplicações ao longo de todo o ciclo de vida.

    Inteligência contra ameaças cibernéticas

    Identifique ameaças avançadas com uso de Inteligência.

    MSS

    Proteção de ativos, sistemas e informações.

    Conscientização, comportamento e cultura

    Programas de Treinamento sob medida para a sua organização.

    Segurança em nuvem

    Segurança na nuvem para empresas.

    Governança, risco e compliance

    Mantenha a conformidade do seu negócio.

    Cibersegurança em OT

    Cibersegurança e conformidade em infraestruturas críticas

  • CONTEÚDOS

    Newsletter

    Acompanhe as atualizacões sobre segurança da informação.

    E-books

    Materiais aprofundados para expandir seu conhecimento.

    Webinars

    Conteúdos apresentados por especialistas da Clavis.

    Livros

    Publicações produzidas pela Clavis sobre segurança da informação.

    Portal Seginfo

    Notícias e conteúdos atualizados sobre segurança da informação.

    Ver tudo em Blog

    Últimas Publicações

    Lições do OWASP Top 10 2025 para aplicações mais seguras

    9 de julho de 2026

    O cenário de incidentes cibernéticos no Brasil: o que os números realmente mostram

    6 de julho de 2026
  • ACADEMIA
  • A CLAVIS

    Sobre a Clavis

    Há mais de 20 anos oferecendo soluções completas.

    Fale Conosco

    Entre em contato para dúvidas, suporte ou novas oportunidades.

    Empresa Estratégica de Defesa

    Reconhecimento e atuação em iniciativas estratégicas de defesa.

    Clavis na Mídia

    Notícias, entrevistas e destaques da Clavis na imprensa.

    Parceiros

    Empresas e organizações que colaboram com a Clavis.

    Trabalhe Conosco

    Conheça as oportunidades e faça parte do time Clavis.

    A Clavis

    Somos especialistas em Segurança da Informação, oferecendo um portfólio completo de serviços e soluções para proteger operações, reduzir riscos e fortalecer a segurança digital das organizações.

    Sobre Nós

FALAR COM ESPECIALISTA
Início » Lições do OWASP Top 10 2025 para aplicações mais seguras

Lições do OWASP Top 10 2025 para aplicações mais seguras

  • julho 9, 2026
  • Eventos
Compartilhe

Sumário

A Clavis participou do Meetup Codecon Joinville, um dos principais encontros da comunidade de tecnologia da região, que reúne profissionais, estudantes e especialistas para compartilhar experiências, discutir tendências e promover o desenvolvimento do ecossistema de tecnologia e segurança.

Representando a Clavis, Gisely Otoni, Analista de GRC, apresentou a palestra “Como pequenas falhas do OWASP destroem grandes sistemas”, mostrando como vulnerabilidades aparentemente simples podem comprometer aplicações críticas quando não são tratadas desde as primeiras etapas do desenvolvimento. 

A apresentação teve como base as atualizações do OWASP Top 10 2025, explorando as principais mudanças da nova edição e como elas refletem a evolução dos riscos enfrentados por aplicações modernas.

O OWASP Top 10 acompanha a evolução das ameaças

Um dos primeiros pontos abordados foi o papel do OWASP como uma das principais referências mundiais em segurança de aplicações. Mais do que um ranking de vulnerabilidades, o OWASP Top 10 funciona como um guia de conscientização para desenvolvedores e equipes de engenharia, reunindo os riscos que mais impactam aplicações web atualmente.

Durante a palestra, Gisely explicou que a edição de 2025 amplia o foco para desafios cada vez mais presentes em arquiteturas modernas, como microsserviços, ambientes distribuídos e cadeias de suprimentos de software. Entre as principais mudanças apresentadas, destacam-se:

  • Broken Access Control permanece como a vulnerabilidade mais crítica;
  • Security Misconfiguration sobe para a segunda posição do ranking;
  • Software Supply Chain Failures passa a integrar oficialmente o Top 10, refletindo a crescente preocupação com dependências, pipelines e componentes de terceiros.

Essas alterações mostram que proteger apenas o código já não é suficiente. Hoje, configurações, integrações e componentes externos fazem parte da superfície de ataque e precisam receber o mesmo nível de atenção.

Quando pequenos erros geram grandes impactos

Ao longo da apresentação, foram demonstrados exemplos práticos de falhas recorrentes encontradas em aplicações, evidenciando como erros aparentemente simples podem abrir caminho para comprometimentos significativos.

Entre os exemplos apresentados estavam problemas de controle de acesso, exposição de informações de depuração, privilégios excessivos e credenciais armazenadas diretamente no código-fonte. 

Embora muitas dessas situações pareçam detalhes técnicos isolados, elas podem ser exploradas para facilitar movimentação lateral, acesso indevido a informações e comprometimento de serviços críticos.

A palestra também destacou dados do próprio OWASP que reforçam a relevância desses riscos. Segundo o levantamento apresentado, o Broken Access Control continua sendo a categoria mais crítica, enquanto as configurações incorretas cresceram significativamente em incidência, acompanhando a complexidade cada vez maior dos ambientes de desenvolvimento modernos.

A cadeia de suprimentos também precisa fazer parte da estratégia

Outro tema de destaque foi a inclusão das falhas na cadeia de suprimentos de software entre os principais riscos do OWASP Top 10 2025.

A apresentação mostrou que o desafio deixou de estar apenas no desenvolvimento interno. Dependências vulneráveis, bibliotecas desatualizadas, componentes de terceiros e pipelines de distribuição passaram a representar riscos relevantes para organizações de todos os portes.

Nesse contexto, foram discutidos exemplos de vulnerabilidades relacionadas ao uso de componentes conhecidos como inseguros, ausência de verificação de integridade durante downloads e dependência de softwares sem manutenção, reforçando a importância de ampliar a visibilidade sobre todo o ecossistema que compõe uma aplicação.

Maturidade em segurança vai além da correção de vulnerabilidades

Além do OWASP Top 10, Gisely apresentou o OWASP SAMM (Software Assurance Maturity Model) como um modelo voltado ao desenvolvimento contínuo da maturidade em segurança.

Enquanto o Top 10 ajuda a identificar os principais riscos, o SAMM propõe uma abordagem estruturada para incorporar segurança durante todo o ciclo de vida do desenvolvimento, contemplando aspectos como governança, modelagem, verificação e operações. 

Essa evolução permite que a segurança deixe de atuar apenas de forma reativa e passe a fazer parte da estratégia de desenvolvimento desde a concepção das aplicações.

Segurança precisa nascer junto com a aplicação

Como principal mensagem da palestra, Gisely reforçou que a maior parte dos incidentes não acontece por vulnerabilidades extremamente sofisticadas, mas por pequenas decisões tomadas ao longo do processo de desenvolvimento.

Construir aplicações resilientes exige incorporar segurança desde o design, estabelecer processos maduros de desenvolvimento e adotar uma visão contínua sobre riscos, configurações e dependências. 

Em um cenário cada vez mais complexo, a arquitetura segura deixa de ser uma etapa isolada para se tornar parte fundamental da construção de software confiável, escalável e preparado para os desafios atuais.

Compartilhe

Sumário

Leia também...

O cenário de incidentes cibernéticos no Brasil: o que os números realmente mostram

Ler Mais

O que torna o cenário brasileiro de ameaças tão diferente?

Ler Mais

Os principais vetores de ataque cibernético: como os invasores estão comprometendo empresas atualmente

Ler Mais

SOMOS ESPECIALISTAS EM SEGURANÇA

Trabalhamos por um mundo digital mais seguro

Fale com nossos Especialistas

Leia também

Lições do OWASP Top 10 2025 para aplicações mais seguras

9 de julho de 2026
Leia mais >

O cenário de incidentes cibernéticos no Brasil: o que os números realmente mostram

6 de julho de 2026
Leia mais >

O que torna o cenário brasileiro de ameaças tão diferente?

2 de julho de 2026
Leia mais >

Somos especialistas em segurança

Trabalhamos por um mundo digital mais seguro

Fale com um especialista
Início » Lições do OWASP Top 10 2025 para aplicações mais seguras

Praia do Flamengo, 66, Sala 1607, Bloco B
Flamengo – Rio de Janeiro/ RJ
Rio de Janeiro – RJ – Brasil – CEP 22210-030

Rua Aloísio Teixeira, 278 – Prédio 3 – Sala 307
Parque Tecnológico da UFRJ
Ilha do Fundão – Cidade Universitária
Rio de Janeiro – RJ – Brasil – CEP 21941-850

+55 4020-1702
+55 (21) 2210-6061 | +55 (21) 2561-0867
Horário de atendimento de 8h às 17h

Soluções

Centro de Operações de Segurança (SOC)

Clavis SIEM

Gestão de Vulnerabilidades

Plataforma

Serviços

Pentest

Perícia Forense Computacional

Desenvolvimento Seguro de Software

Inteligência contra ameaças cibernéticas

Treinamento e conscientização em Segurança

Gap Analysis

Consultoria ISO 27001 e 27002

Norma BACEN

PCI DSS

Adequação á LGPD

MSS

Conteúdos

Portal SegInfo

SegInfoCast

Materiais para Downloads

Blog

Livros

Política de Privacidade

Newsletter Segurança da Informação

Descubra mais sobre Clavis Segurança da Informação

Assine agora mesmo para continuar lendo e ter acesso ao arquivo completo.

Continuar lendo

Plataforma unificada de cibersegurança

SOC

Clavis SIEM

Gerenciamento da Superficie de Ataque

Gestão de Vulnerabilidade

Teste de Invasão (Pentest)

Resposta a Incidentes e Computação Forense

Desenvolvimento Seguro de Software

Inteligência contra Ameaças Cibernéticas

MSS

Conscientização, comportamento e cultura

Segurança em nuvem

Governança, Risco e Compliance

Cibersegurança em OT

ISO/EC 27001
Norma BACEN
PCI DSS
Adequação à LGPD
Avaliação de Conformidade

Newsletter

E-books

Webinars

Livros

Portal Seginfo

Acesse o nosso Blog

Todos os Cursos

Login Academia

Sobre a Clavis

Fale Conosco

Empresa Estratégica de Defesa

Clavis na Mídia

Parceiros

Trabalhe Conosco