OWASP API Security Top 10: recomendações importantes para tornar suas APIs mais seguras
ThiagoBertuzzi
11 views
27 slides
Oct 27, 2025
Slide 1 of 27
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
About This Presentation
APIs REST constituem um elemento central na esmagadora maioria dos projetos de software, sejam aplicativos mobile, sites ou integrações entre diferentes sistemas. E em virtude da grande importância dessas implementações e dos dados por ela manipulados, diversos tipos de ataques podem acontecer ...
Slide Content
OWASP API Security Top 10 : Recomendações importantes para tornar suas APIs mais seguras Thiago Bertuzzi Ano de 2025 Edição 2025 [email protected]
Página 01 www.mvpconf.com.br Edição 2025 Nossos Patrocinadores :
O que é o MVP Conf ? Evento técnico nacional idealizado por MVPs (Most Valuable Professionals ) da comunidade Microsoft. Criado em 2018 com o propósito de compartilhar conhecimento, conectar pessoas e gerar impacto social. Reúne centenas de palestras distribuídas em trilhas como IA, nuvem, dados, segurança, Microsoft 365, entre outras. Todo o lucro arrecadado com a venda dos ingressos é revertido para projetos sociais. Página 02 www.mvpconf.com.br Edição 2025
Página 03 www.mvpconf.com.br Edição 2025 Thiago Bertuzzi Arquiteto de Software e SSDLC Expert Thiago Bertuzzi é desenvolvedor .net há 18 anos participando de projetos de Segurança, Desktop, Services, Web e Mobile utilizando Xamarin / MAUI. É Microsoft MVP em Developer Technologies APIsec U Ambassador . É Head of Technology / Arquiteto e SSDLC Expert na NESS Contribui para comunidade .net escrevendo artigos, compartilhando códigos, palestrando e criando pacotes Nuget .
Página 04 www.mvpconf.com.br Edição 2025
Página 05 www.mvpconf.com.br Edição 2025 APIs REST APIs REST constituem um elemento central na esmagadora maioria dos projetos de software sejam aplicativos mobile sites ou integrações entre diferentes sistemas E em virtude da grande importância dessas implementações e dos dados por ela manipulados diversos tipos de ataques podem acontecer e motivados pelas mais diferentes razões de descuidos durante o desenvolvimento de APIs a situações não previstas exploradas por ataques mais sofisticados.
Página 06 www.mvpconf.com.br Edição 2025 OWASP (Open Worldwide Application Security Project) e OWASP API Security Top 10 Comunidade global sem fins lucrativos dedicada a melhorar a segurança de software. Fornece guias, ferramentas e boas práticas abertas e gratuitas para desenvolvedores, arquitetos e profissionais de segurança. Conhecida pelo OWASP Top 10, uma lista das principais vulnerabilidades em aplicações web. API Security Top 10 : Extensão do trabalho da OWASP focada especificamente em APIs ( Application Programming Interfaces)
Página 07 www.mvpconf.com.br Edição 2025 Conceitos e pontos importantes Autenticação (identidade) Autorização (permissões) Tokens JWT
Página 08 www.mvpconf.com.br Edição 2025 OWASP API Security Top 10: uma visão geral Última compilação realizada em 2023 pela OWASP ( Open Worldwide Application Security Project) Vulnerabilidades mais comuns APIs são um elemento central nas mais variadas arquiteturas
Página 09 www.mvpconf.com.br Edição 2025
Página 10 www.mvpconf.com.br Edição 2025 API1:2023 - Broken Object Level Authorization (BOLA) Acesso indevido a informações, utilizando IDs e outros dados que podem ser inferidos Definir níveis de acesso às informações Usar IDs gerados randomicamente
Página 11 www.mvpconf.com.br Edição 2025 Usuário A Dados Usuário A Dados Usuário B
Página 12 www.mvpconf.com.br Edição 2025 API2:2023 - Broken Authentication Tokens de autenticação podem ser comprometidos através de manipulação dos dados Senhas fracas, credential stuffing JWT não envolve criptografia num payload (base64)
Página 13 www.mvpconf.com.br Edição 2025 API3:2023 - Broken Object Property Level Authorization (BOPLA) Exposição de dados em excesso Dados sensíveis Possibilidade de edição de dados sensíveis (senha, dados pessoais, documentos) Falta de melhores controles de autenticação
Página 14 www.mvpconf.com.br Edição 2025 API4:2023 - Unrestricted Resource Consumption Uso de APIs sem restrições e até a exaustão de recursos Denial of Service Degradação de performance APIs Gateways com policies limitando uso de APIs Rate Limit Erro 429 (Too many requests )
Página 15 www.mvpconf.com.br Edição 2025 API5:2023 - Broken Function Level Authorization (BFLA) Capacidade do Usuário A executar transações em nome do Usuário B BOLA (visualização de dados) x BFLA (transações) Cuidados expondo endpoints do tipo POST, PUT, DELETE ou de funções administrativas Definir controles de autorização claros
Página 16 www.mvpconf.com.br Edição 2025 API6:2023 - Unrestricted Access to Sensitive Business Flows Ataques direcionados a APIs que fazem parte de um fluxo específico do negócio Comprometer operações Limitar o acesso a APIs críticas Instrumentação/ Observabilidade , analisando tráfegos anormais
Página 17 www.mvpconf.com.br Edição 2025 API7:2023 Server Side Request Forgery (SSRF) URLs informadas por um consumidor podem levar a eventuais ataques Validar dados fornecidos Evitar redirecionamentos via HTTP
Página 18 www.mvpconf.com.br Edição 2025 API7:2023 Server Side Request Forgery (SSRF)
Página 19 www.mvpconf.com.br Edição 2025 API8:2023 - Security Misconfiguration Cuidados com o que for manipulado via Header Evitar o uso de contas default Evitar mensagens de erro “verbosas” Necessidade de implementar CORS (Cross- Origin Resource Sharing ) Não libere o uso de métodos HTTP desnecessários para um endpoint Falta de um melhor tratamento de dados de Input Forçar o tráfego de dados em formato encriptado
Página 20 www.mvpconf.com.br Edição 2025 API9:2023 - Improper Inventory Management Endpoints de versões antigas podem permanecer disponíveis Constituem brechas para outros tipos de ataque Cuidados com o que será exposto via Swagger/ OpenAPI APIOps e API Gateways contribuem para uma melhor governança
Página 21 www.mvpconf.com.br Edição 2025 API10:2023 - Unsafe Consumption of APIs Integrações sempre estão presentes em projetos corporativos APIs de terceiros podem ser uma porta de entrada para ataques Garantir que boas práticas de segurança são também adotadas por parceiros e fornecedores
Página 22 www.mvpconf.com.br Edição 2025 DAST x Pen Tests Ambos testarão aplicações em execução Testes do tipo DAST (Dynamic Application Security Testing) requerem sempre o uso de ferramentas de automação, possibilitando com isto sua integração com esteiras de CI/CD Penetration Tests envolvem tanto o uso de automação, quanto checagens manuais
Página 23 www.mvpconf.com.br Edição 2025 Zed Attack Proxy (ZAP): implementando DAST Alternativa para DAST Testes de sites e APIs REST em execução Projeto open source apoiado pela OWASP Site: https://www.zaproxy.org/
Página 24 www.mvpconf.com.br Edição 2025 Cursos gratuitos em Segurança de APIs
MVP Conf Página 25 Se Segurança é a ultima coisa que você vai se preocupar , fica tranquilo . Ate la você ja perdeu a empresa mesmo …
[email protected] www.mvpconf.com.br / @mvpconf Edição 2025 Fale com a gente e descubra como fazer parte dessa transformação.
Download
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 11
- Slides 27
- Age 34 days
Related Slideshows
11
8-top-ai-courses-for-customer-support-representatives-in-2025.pptx
JeroenErne2
44 views
10
7-essential-ai-courses-for-call-center-supervisors-in-2025.pptx
JeroenErne2
44 views
13
25-essential-ai-courses-for-user-support-specialists-in-2025.pptx
JeroenErne2
36 views
11
8-essential-ai-courses-for-insurance-customer-service-representatives-in-2025.pptx
JeroenErne2
33 views
21
Know for Certain
DaveSinNM
19 views
17
PPT OPD LES 3ertt4t4tqqqe23e3e3rq2qq232.pptx
novasedanayoga46
23 views