TB
Carregado porThiago Bertuzzi
PPTX, PDF27 visualizações

OWASP API Security Top 10: recomendações importantes para tornar suas APIs mais seguras

APIs REST constituem um elemento central na esmagadora maioria dos projetos de software, sejam aplicativos mobile, sites ou integrações entre diferentes sistemas. E em virtude da grande importância dessas implementações e dos dados por ela manipulados, diversos tipos de ataques podem acontecer e motivados pelas mais diferentes razões: de descuidos durante o desenvolvimento de APIs a situações não previstas exploradas por ataques mais sofisticados. Essas ameaças estão presentes na vasta maioria dos projetos, sendo catalogadas em uma das famosas listas da OWASP conhecida como OWASP API Security Top 10. Confira nesta apresentação uma visão geral sobre as vulnerabilidades que integram a lista da OWASP API Security Top 10, com dicas, orientações e até sugestões de ferramentas para tornar mais segura e confiável a implementação de APIs REST!

Baixar para ler offline
OWASP API Security Top 10 : Recomendações importantes para tornar suas APIs mais seguras Thiago Bertuzzi Ano de 2025 Edição 2025 contato@mvpconf.com.br
Página 01 www.mvpconf.com.br Edição 2025 Nossos Patrocinadores:
O que é o MVP Conf? Evento técnico nacional idealizado por MVPs (Most Valuable Professionals) da comunidade Microsoft. Criado em 2018 com o propósito de compartilhar conhecimento, conectar pessoas e gerar impacto social. Reúne centenas de palestras distribuídas em trilhas como IA, nuvem, dados, segurança, Microsoft 365, entre outras. Todo o lucro arrecadado com a venda dos ingressos é revertido para projetos sociais. Página 02 www.mvpconf.com.br Edição 2025
Página 03 www.mvpconf.com.br Edição 2025 Thiago Bertuzzi Arquiteto de Software e SSDLC Expert • Thiago Bertuzzi é desenvolvedor .net há 18 anos participando de projetos de Segurança, Desktop, Services, Web e Mobile utilizando Xamarin / MAUI. • É Microsoft MVP em Developer Technologies • APIsec U Ambassador. • É Head of Technology / Arquiteto e SSDLC Expert na NESS • Contribui para comunidade .net escrevendo artigos, compartilhando códigos, palestrando e criando pacotes Nuget.
Página 04 www.mvpconf.com.br Edição 2025
Página 05 www.mvpconf.com.br Edição 2025 APIs REST APIs REST constituem um elemento central na esmagadora maioria dos projetos de software sejam aplicativos mobile sites ou integrações entre diferentes sistemas E em virtude da grande importância dessas implementações e dos dados por ela manipulados diversos tipos de ataques podem acontecer e motivados pelas mais diferentes razões de descuidos durante o desenvolvimento de APIs a situações não previstas exploradas por ataques mais sofisticados.
Página 06 www.mvpconf.com.br Edição 2025 OWASP (Open Worldwide Application Security Project) e OWASP API Security Top 10 • Comunidade global sem fins lucrativos dedicada a melhorar a segurança de software. • Fornece guias, ferramentas e boas práticas abertas e gratuitas para desenvolvedores, arquitetos e profissionais de segurança. • Conhecida pelo OWASP Top 10, uma lista das principais vulnerabilidades em aplicações web. • API Security Top 10 : Extensão do trabalho da OWASP focada especificamente em APIs (Application Programming Interfaces)
Página 07 www.mvpconf.com.br Edição 2025 Conceitos e pontos importantes •Autenticação (identidade) •Autorização (permissões) •Tokens JWT
Página 08 www.mvpconf.com.br Edição 2025 OWASP API Security Top 10: uma visão geral • Última compilação realizada em 2023 pela OWASP (Open Worldwide Application Security Project) • Vulnerabilidades mais comuns • APIs são um elemento central nas mais variadas arquiteturas
Página 09 www.mvpconf.com.br Edição 2025
Página 10 www.mvpconf.com.br Edição 2025 API1:2023 - Broken Object Level Authorization (BOLA) • Acesso indevido a informações, utilizando IDs e outros dados que podem ser inferidos • Definir níveis de acesso às informações • Usar IDs gerados randomicamente
Página 11 www.mvpconf.com.br Edição 2025 Usuário A Dados Usuário A Dados Usuário B
Página 12 www.mvpconf.com.br Edição 2025 API2:2023 - Broken Authentication • Tokens de autenticação podem ser comprometidos através de manipulação dos dados • Senhas fracas, credential stuffing • JWT não envolve criptografia num payload (base64)
Página 13 www.mvpconf.com.br Edição 2025 API3:2023 - Broken Object Property Level Authorization (BOPLA) • Exposição de dados em excesso • Dados sensíveis • Possibilidade de edição de dados sensíveis (senha, dados pessoais, documentos) • Falta de melhores controles de autenticação
Página 14 www.mvpconf.com.br Edição 2025 API4:2023 - Unrestricted Resource Consumption • Uso de APIs sem restrições e até a exaustão de recursos • Denial of Service • Degradação de performance • APIs Gateways com policies limitando uso de APIs • Rate Limit • Erro 429 (Too many requests)
Página 15 www.mvpconf.com.br Edição 2025 API5:2023 - Broken Function Level Authorization (BFLA) • Capacidade do Usuário A executar transações em nome do Usuário B • BOLA (visualização de dados) x BFLA (transações) • Cuidados expondo endpoints do tipo POST, PUT, DELETE ou de funções administrativas • Definir controles de autorização claros
Página 16 www.mvpconf.com.br Edição 2025 API6:2023 - Unrestricted Access to Sensitive Business Flows • Ataques direcionados a APIs que fazem parte de um fluxo específico do negócio • Comprometer operações • Limitar o acesso a APIs críticas • Instrumentação/Observabilidade, analisando tráfegos anormais
Página 17 www.mvpconf.com.br Edição 2025 API7:2023 Server Side Request Forgery (SSRF) • URLs informadas por um consumidor podem levar a eventuais ataques • Validar dados fornecidos • Evitar redirecionamentos via HTTP
Página 18 www.mvpconf.com.br Edição 2025 API7:2023 Server Side Request Forgery (SSRF)
Página 19 www.mvpconf.com.br Edição 2025 API8:2023 - Security Misconfiguration • Cuidados com o que for manipulado via Header • Evitar o uso de contas default • Evitar mensagens de erro “verbosas” • Necessidade de implementar CORS (Cross-Origin Resource Sharing) • Não libere o uso de métodos HTTP desnecessários para um endpoint • Falta de um melhor tratamento de dados de Input • Forçar o tráfego de dados em formato encriptado
Página 20 www.mvpconf.com.br Edição 2025 API9:2023 - Improper Inventory Management • Endpoints de versões antigas podem permanecer disponíveis • Constituem brechas para outros tipos de ataque • Cuidados com o que será exposto via Swagger/OpenAPI • APIOps e API Gateways contribuem para uma melhor governança
Página 21 www.mvpconf.com.br Edição 2025 API10:2023 - Unsafe Consumption of APIs • Integrações sempre estão presentes em projetos corporativos • APIs de terceiros podem ser uma porta de entrada para ataques • Garantir que boas práticas de segurança são também adotadas por parceiros e fornecedores
Página 22 www.mvpconf.com.br Edição 2025 DAST x Pen Tests • Ambos testarão aplicações em execução • Testes do tipo DAST (Dynamic Application Security Testing) requerem sempre o uso de ferramentas de automação, possibilitando com isto sua integração com esteiras de CI/CD • Penetration Tests envolvem tanto o uso de automação, quanto checagens manuais
Página 23 www.mvpconf.com.br Edição 2025 Zed Attack Proxy (ZAP): implementando DAST • Alternativa para DAST • Testes de sites e APIs REST em execução • Projeto open source apoiado pela OWASP • Site: https://www.zaproxy.org/
Página 24 www.mvpconf.com.br Edição 2025 Cursos gratuitos em Segurança de APIs
MVP Conf Página 25 Se Segurança é a ultima coisa que você vai se preocupar, fica tranquilo. Ate la você ja perdeu a empresa mesmo…
contato@mvpconf.com.br www.mvpconf.com.br / @mvpconf Edição 2025 Fale com a gente e descubra como fazer parte dessa transformação.

Mais conteúdo relacionado

PDF
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
porMagno Logan
 
PDF
Economia das APIs - Uma visão de negócios
porEdgar Silva
 
PDF
OWASP Top Ten API Project 2019
porFernando Galves
 
PPTX
Secure Coding with OWASP & SSDLC.pptx
porThiago Bertuzzi
 
PPTX
API Gateways DevOps Experience Abril-2024.pptx
porWalter Coan
 
PPTX
TDC2024 - DANIEL-LEMESZENSKI-TRILHA-API.pptx
porDaniel Lemeszenski, MSc
 
PDF
Antar ferreira
porAntar Ferreira
 
PPTX
Desenvolvimento de Aplicações Web Seguras
porDércio Luiz Reis
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
porMagno Logan
 
Economia das APIs - Uma visão de negócios
porEdgar Silva
 
OWASP Top Ten API Project 2019
porFernando Galves
 
Secure Coding with OWASP & SSDLC.pptx
porThiago Bertuzzi
 
API Gateways DevOps Experience Abril-2024.pptx
porWalter Coan
 
TDC2024 - DANIEL-LEMESZENSKI-TRILHA-API.pptx
porDaniel Lemeszenski, MSc
 
Antar ferreira
porAntar Ferreira
 
Desenvolvimento de Aplicações Web Seguras
porDércio Luiz Reis
 

Semelhante a OWASP API Security Top 10: recomendações importantes para tornar suas APIs mais seguras

PDF
Segurança de APIs - API eXperience
porDaniel Varanda
 
ODT
OWASP Top 10 2010 pt-BR
porMagno Logan
 
PPTX
API's Automidia: Provendo Meios Estruturados de Integração
porRequestia Software
 
PPTX
Mundo das API's
porMichael Costa
 
PDF
Os 7 Pecados Capitais na exposição de APIs RESTful
porKleber Bacili
 
PDF
APIs gerenciadas de ponta a ponta
porFábio Rosato
 
PPTX
Api’s abertos
porgrupovermelho
 
PPTX
Transforme suas APIs em Negócio
porRicardo Micheletti de Souza
 
PDF
API Methodology by Skalena
porEdgar Silva
 
PDF
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
porRafael Brinhosa
 
PDF
APIs gerenciadas de ponta a ponta
porJosé Vahl
 
PPTX
Otimizando seu cenário de APIs
porAndre Baltieri
 
PDF
Rest api vs SOAP
porJeison Barros
 
PDF
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
porWSO2
 
PPTX
Turbine sua API no Microsoft Azure
porAndre Baltieri
 
PDF
PHP Experience 2016 - [Workshop] APIs bem desenhadas como base para integrações
poriMasters
 
PDF
Api best practices - SOAP vs REST
porDanielChristofolli
 
PPTX
Dicas para uma maior performance em APIs REST - DEVPIRA Festival - Dezembro-2018
porRenato Groff
 
PPTX
Api todo list
porJhonathan de Souza Soares
 
PDF
Design de APIs RESTful Seguras e Escaláveis
porKleber Bacili
 
Segurança de APIs - API eXperience
porDaniel Varanda
 
OWASP Top 10 2010 pt-BR
porMagno Logan
 
API's Automidia: Provendo Meios Estruturados de Integração
porRequestia Software
 
Mundo das API's
porMichael Costa
 
Os 7 Pecados Capitais na exposição de APIs RESTful
porKleber Bacili
 
APIs gerenciadas de ponta a ponta
porFábio Rosato
 
Api’s abertos
porgrupovermelho
 
Transforme suas APIs em Negócio
porRicardo Micheletti de Souza
 
API Methodology by Skalena
porEdgar Silva
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
porRafael Brinhosa
 
APIs gerenciadas de ponta a ponta
porJosé Vahl
 
Otimizando seu cenário de APIs
porAndre Baltieri
 
Rest api vs SOAP
porJeison Barros
 
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
porWSO2
 
Turbine sua API no Microsoft Azure
porAndre Baltieri
 
PHP Experience 2016 - [Workshop] APIs bem desenhadas como base para integrações
poriMasters
 
Api best practices - SOAP vs REST
porDanielChristofolli
 
Dicas para uma maior performance em APIs REST - DEVPIRA Festival - Dezembro-2018
porRenato Groff
 
Api todo list
porJhonathan de Souza Soares
 
Design de APIs RESTful Seguras e Escaláveis
porKleber Bacili
 

Mais de Thiago Bertuzzi

PPTX
Código Seguro
porThiago Bertuzzi
 
PPTX
MAUI + .NET 6: principais novidades
porThiago Bertuzzi
 
PPTX
4 Apps que todo Desenvolvedor Xamarin deveria fazer
porThiago Bertuzzi
 
PPTX
Novidades de Xamarin e Visual Studio for Mac no .Net Conf
porThiago Bertuzzi
 
PPTX
Criando Apps com .net: o Poder do Xamarin.Forms
porThiago Bertuzzi
 
PPTX
Xamarin.Forms: estes pacotes vão salvar sua vida
porThiago Bertuzzi
 
PPTX
Xamarin summit 2020 : Plugins e Controles para Xamarin.Forms 
porThiago Bertuzzi
 
PPTX
Do Azure Devops ao Github Actions, Caso Real
porThiago Bertuzzi
 
PPTX
Plugins e Controles para Xamarin.Forms Canal.net DevWeek
porThiago Bertuzzi
 
PPTX
4 Apps que todo Desenvolvedor Xamarin deveria fazer e Plugins e Controles par...
porThiago Bertuzzi
 
PPTX
Cobertura de Código: Testes de Unidade
porThiago Bertuzzi
 
PPTX
Domain Driven Design : Pensando Fora da Caixa
porThiago Bertuzzi
 
PPTX
Persistência e Bancos de Dados com Xamarin.Forms
porThiago Bertuzzi
 
PPTX
Azure Weekend : Desenvolvedor Mobile: Por que ainda não utiliza o Visual Stud...
porThiago Bertuzzi
 
PPTX
Boas Práticas com Xamarin Forms 
porThiago Bertuzzi
 
PPTX
Armazenando Dados com Xamarin
porThiago Bertuzzi
 
PPTX
Xamarin.Forms : O Poder do XAML, criando interfaces incríveis
porThiago Bertuzzi
 
PPTX
Novidades de Xamarin no Visual Studio 2019 e Microsoft Build 2019
porThiago Bertuzzi
 
PPTX
Novidades de Xamarin, AppCenter e VisualStudio for Mac no Microsoft Build 2019
porThiago Bertuzzi
 
PPTX
Novidades de Xamarin no VisualStudio 2019 e VisualStudio 8 For Mac
porThiago Bertuzzi
 
Código Seguro
porThiago Bertuzzi
 
MAUI + .NET 6: principais novidades
porThiago Bertuzzi
 
4 Apps que todo Desenvolvedor Xamarin deveria fazer
porThiago Bertuzzi
 
Novidades de Xamarin e Visual Studio for Mac no .Net Conf
porThiago Bertuzzi
 
Criando Apps com .net: o Poder do Xamarin.Forms
porThiago Bertuzzi
 
Xamarin.Forms: estes pacotes vão salvar sua vida
porThiago Bertuzzi
 
Xamarin summit 2020 : Plugins e Controles para Xamarin.Forms 
porThiago Bertuzzi
 
Do Azure Devops ao Github Actions, Caso Real
porThiago Bertuzzi
 
Plugins e Controles para Xamarin.Forms Canal.net DevWeek
porThiago Bertuzzi
 
4 Apps que todo Desenvolvedor Xamarin deveria fazer e Plugins e Controles par...
porThiago Bertuzzi
 
Cobertura de Código: Testes de Unidade
porThiago Bertuzzi
 
Domain Driven Design : Pensando Fora da Caixa
porThiago Bertuzzi
 
Persistência e Bancos de Dados com Xamarin.Forms
porThiago Bertuzzi
 
Azure Weekend : Desenvolvedor Mobile: Por que ainda não utiliza o Visual Stud...
porThiago Bertuzzi
 
Boas Práticas com Xamarin Forms 
porThiago Bertuzzi
 
Armazenando Dados com Xamarin
porThiago Bertuzzi
 
Xamarin.Forms : O Poder do XAML, criando interfaces incríveis
porThiago Bertuzzi
 
Novidades de Xamarin no Visual Studio 2019 e Microsoft Build 2019
porThiago Bertuzzi
 
Novidades de Xamarin, AppCenter e VisualStudio for Mac no Microsoft Build 2019
porThiago Bertuzzi
 
Novidades de Xamarin no VisualStudio 2019 e VisualStudio 8 For Mac
porThiago Bertuzzi
 

OWASP API Security Top 10: recomendações importantes para tornar suas APIs mais seguras

  • 1.
    OWASP API SecurityTop 10 : Recomendações importantes para tornar suas APIs mais seguras Thiago Bertuzzi Ano de 2025 Edição 2025 [email protected]
  • 2.
    Página 01 www.mvpconf.com.br Edição2025 Nossos Patrocinadores:
  • 3.
    O que éo MVP Conf? Evento técnico nacional idealizado por MVPs (Most Valuable Professionals) da comunidade Microsoft. Criado em 2018 com o propósito de compartilhar conhecimento, conectar pessoas e gerar impacto social. Reúne centenas de palestras distribuídas em trilhas como IA, nuvem, dados, segurança, Microsoft 365, entre outras. Todo o lucro arrecadado com a venda dos ingressos é revertido para projetos sociais. Página 02 www.mvpconf.com.br Edição 2025
  • 4.
    Página 03 www.mvpconf.com.br Edição2025 Thiago Bertuzzi Arquiteto de Software e SSDLC Expert • Thiago Bertuzzi é desenvolvedor .net há 18 anos participando de projetos de Segurança, Desktop, Services, Web e Mobile utilizando Xamarin / MAUI. • É Microsoft MVP em Developer Technologies • APIsec U Ambassador. • É Head of Technology / Arquiteto e SSDLC Expert na NESS • Contribui para comunidade .net escrevendo artigos, compartilhando códigos, palestrando e criando pacotes Nuget.
  • 5.
  • 6.
    Página 05 www.mvpconf.com.br Edição2025 APIs REST APIs REST constituem um elemento central na esmagadora maioria dos projetos de software sejam aplicativos mobile sites ou integrações entre diferentes sistemas E em virtude da grande importância dessas implementações e dos dados por ela manipulados diversos tipos de ataques podem acontecer e motivados pelas mais diferentes razões de descuidos durante o desenvolvimento de APIs a situações não previstas exploradas por ataques mais sofisticados.
  • 7.
    Página 06 www.mvpconf.com.br Edição2025 OWASP (Open Worldwide Application Security Project) e OWASP API Security Top 10 • Comunidade global sem fins lucrativos dedicada a melhorar a segurança de software. • Fornece guias, ferramentas e boas práticas abertas e gratuitas para desenvolvedores, arquitetos e profissionais de segurança. • Conhecida pelo OWASP Top 10, uma lista das principais vulnerabilidades em aplicações web. • API Security Top 10 : Extensão do trabalho da OWASP focada especificamente em APIs (Application Programming Interfaces)
  • 8.
    Página 07 www.mvpconf.com.br Edição2025 Conceitos e pontos importantes •Autenticação (identidade) •Autorização (permissões) •Tokens JWT
  • 9.
    Página 08 www.mvpconf.com.br Edição2025 OWASP API Security Top 10: uma visão geral • Última compilação realizada em 2023 pela OWASP (Open Worldwide Application Security Project) • Vulnerabilidades mais comuns • APIs são um elemento central nas mais variadas arquiteturas
  • 10.
  • 11.
    Página 10 www.mvpconf.com.br Edição2025 API1:2023 - Broken Object Level Authorization (BOLA) • Acesso indevido a informações, utilizando IDs e outros dados que podem ser inferidos • Definir níveis de acesso às informações • Usar IDs gerados randomicamente
  • 12.
    Página 11 www.mvpconf.com.br Edição2025 Usuário A Dados Usuário A Dados Usuário B
  • 13.
    Página 12 www.mvpconf.com.br Edição2025 API2:2023 - Broken Authentication • Tokens de autenticação podem ser comprometidos através de manipulação dos dados • Senhas fracas, credential stuffing • JWT não envolve criptografia num payload (base64)
  • 14.
    Página 13 www.mvpconf.com.br Edição2025 API3:2023 - Broken Object Property Level Authorization (BOPLA) • Exposição de dados em excesso • Dados sensíveis • Possibilidade de edição de dados sensíveis (senha, dados pessoais, documentos) • Falta de melhores controles de autenticação
  • 15.
    Página 14 www.mvpconf.com.br Edição2025 API4:2023 - Unrestricted Resource Consumption • Uso de APIs sem restrições e até a exaustão de recursos • Denial of Service • Degradação de performance • APIs Gateways com policies limitando uso de APIs • Rate Limit • Erro 429 (Too many requests)
  • 16.
    Página 15 www.mvpconf.com.br Edição2025 API5:2023 - Broken Function Level Authorization (BFLA) • Capacidade do Usuário A executar transações em nome do Usuário B • BOLA (visualização de dados) x BFLA (transações) • Cuidados expondo endpoints do tipo POST, PUT, DELETE ou de funções administrativas • Definir controles de autorização claros
  • 17.
    Página 16 www.mvpconf.com.br Edição2025 API6:2023 - Unrestricted Access to Sensitive Business Flows • Ataques direcionados a APIs que fazem parte de um fluxo específico do negócio • Comprometer operações • Limitar o acesso a APIs críticas • Instrumentação/Observabilidade, analisando tráfegos anormais
  • 18.
    Página 17 www.mvpconf.com.br Edição2025 API7:2023 Server Side Request Forgery (SSRF) • URLs informadas por um consumidor podem levar a eventuais ataques • Validar dados fornecidos • Evitar redirecionamentos via HTTP
  • 19.
    Página 18 www.mvpconf.com.br Edição2025 API7:2023 Server Side Request Forgery (SSRF)
  • 20.
    Página 19 www.mvpconf.com.br Edição2025 API8:2023 - Security Misconfiguration • Cuidados com o que for manipulado via Header • Evitar o uso de contas default • Evitar mensagens de erro “verbosas” • Necessidade de implementar CORS (Cross-Origin Resource Sharing) • Não libere o uso de métodos HTTP desnecessários para um endpoint • Falta de um melhor tratamento de dados de Input • Forçar o tráfego de dados em formato encriptado
  • 21.
    Página 20 www.mvpconf.com.br Edição2025 API9:2023 - Improper Inventory Management • Endpoints de versões antigas podem permanecer disponíveis • Constituem brechas para outros tipos de ataque • Cuidados com o que será exposto via Swagger/OpenAPI • APIOps e API Gateways contribuem para uma melhor governança
  • 22.
    Página 21 www.mvpconf.com.br Edição2025 API10:2023 - Unsafe Consumption of APIs • Integrações sempre estão presentes em projetos corporativos • APIs de terceiros podem ser uma porta de entrada para ataques • Garantir que boas práticas de segurança são também adotadas por parceiros e fornecedores
  • 23.
    Página 22 www.mvpconf.com.br Edição2025 DAST x Pen Tests • Ambos testarão aplicações em execução • Testes do tipo DAST (Dynamic Application Security Testing) requerem sempre o uso de ferramentas de automação, possibilitando com isto sua integração com esteiras de CI/CD • Penetration Tests envolvem tanto o uso de automação, quanto checagens manuais
  • 24.
    Página 23 www.mvpconf.com.br Edição2025 Zed Attack Proxy (ZAP): implementando DAST • Alternativa para DAST • Testes de sites e APIs REST em execução • Projeto open source apoiado pela OWASP • Site: https://www.zaproxy.org/
  • 25.
    Página 24 www.mvpconf.com.br Edição2025 Cursos gratuitos em Segurança de APIs
  • 26.
    MVP Conf Página 25 Se Segurançaé a ultima coisa que você vai se preocupar, fica tranquilo. Ate la você ja perdeu a empresa mesmo…
  • 27.
    [email protected] www.mvpconf.com.br /@mvpconf Edição 2025 Fale com a gente e descubra como fazer parte dessa transformação.

Notas do Editor

  • #8 1. JWT não é criptografado O conteúdo (payload) é apenas codificado em Base64, ou seja, qualquer um pode decodificar e ver os dados. 🗣️ Diga: “Se você colocar um JWT no site jwt.io, verá todos os dados — inclusive claims e permissões.” 2. Tokens longos e sem expiração são perigosos Se o token vazar, o invasor pode usá-lo até expirar. Muitas APIs não implementam revogação ou blacklist, tornando o roubo irreversível. 3. Assinaturas fracas ou mal configuradas Alguns devs usam algoritmo none ou chaves simétricas simples (secret123). Isso permite falsificar tokens facilmente. 4. Armazenamento incorreto no front-end Guardar JWTs em localStorage é perigoso, pois pode ser acessado via XSS. Prefira Cookies HttpOnly com Secure e SameSite. 5. Falsa sensação de segurança Muitos acreditam que JWT é seguro “por padrão”. Mas segurança depende de como ele é implementado e validado. ✅ Boas práticas: Tokens curtos (5–15 minutos). Refresh tokens seguros. Assinaturas com RS256 ou ES256. Revogação e monitoramento de login.
  • #11 O atacante manipula IDs nos endpoints (/users/123) e acessa dados de outro usuário. Mostre que é a falha mais comum em APIs REST. ✅ Soluções: Validar acesso no backend (não confiar no front). Usar IDs randomizados ou UUIDs. Verificar sempre a propriedade do recurso.
  • #13 Tokens e credenciais fracas comprometem o sistema. JWTs podem ser decodificados (não criptografados, só base64). ✅ Soluções: Usar tokens curtos e rotativos. Implementar Multi-Factor Authentication (MFA). Evitar armazenar JWTs em localStorage.
  • #14 API3:2023 – Broken Object Property Level Authorization (BOPLA) Quando uma API expõe mais campos do que deveria ou permite editar atributos sensíveis (como role ou isAdmin). ✅ Soluções: Implementar DTOs específicos por contexto. Validar campos de input. Não confiar em propriedades enviadas pelo cliente.
  • #15 API4:2023 – Unrestricted Resource Consumption Falta de limites de uso gera DoS (Denial of Service). ✅ Soluções: Implementar Rate Limiting, Throttle e Circuit Breakers. Responder com HTTP 429 (Too many requests). Monitorar logs de uso.
  • #16 API5:2023 – Broken Function Level Authorization (BFLA) Usuário comum consegue acessar funções administrativas ou executar ações de outro usuário. ✅ Soluções: Separar roles com clareza. Validar autorização por função em cada endpoint. Revisar endpoints POST, PUT, DELETE.
  • #17 API6:2023 – Unrestricted Access to Sensitive Business Flows APIs críticas são atacadas durante fluxos sensíveis (ex: pagamento, cadastro). ✅ Soluções: Restringir acesso a fluxos de negócio estratégicos. Usar observabilidade e telemetria para detectar padrões anormais.
  • #18 API7:2023 – Server-Side Request Forgery (SSRF) Quando a API faz requisições baseadas em URLs enviadas pelo cliente. ✅ Soluções: Validar URLs e bloquear IPs internos (ex: localhost, 169.254.*). Evitar redirecionamentos HTTP automáticos.
  • #20 API8:2023 – Security Misconfiguration Headers, CORS, mensagens de erro e métodos HTTP abertos demais. ✅ Soluções: Desabilitar métodos desnecessários. Usar CORS restritivo. Evitar mensagens de erro detalhadas. Forçar HTTPS.
  • #21 API9:2023 – Improper Inventory Management Endpoints antigos e não documentados continuam ativos. ✅ Soluções: Versionar APIs corretamente. Desativar versões obsoletas. Usar APIOps e API Gateways para governança.
  • #22 API10:2023 – Unsafe Consumption of APIs APIs externas sem validação podem trazer dados inseguros. ✅ Soluções: Validar tudo que vem de integrações. Checar segurança de parceiros e fornecedores.