OWASP

Objetivo Técnico

OWASP fornece baselines práticos para controles de aplicação, identidade, logging, autorização, validação de entrada, arquitetura segura e resposta a vulnerabilidades. Nas páginas do projeto, OWASP deve ancorar mitigação e detecção.

Checklist Operacional

1. Selecionar a cheat sheet pelo controle afetado, não apenas pelo nome da vulnerabilidade.
2. Converter a recomendação em requisito verificável de código, configuração ou processo.
3. Usar Authorization, Authentication, Logging e Network Segmentation como base frequente em pentest interno.
4. Relacionar OWASP com evidência do achado e com o critério de reteste.
5. Evitar recomendação genérica quando houver controle específico documentado pela OWASP.

Exemplos de Associação

IDOR ou acesso indevido -> OWASP Authorization Cheat Sheet
Senha, MFA e sessao -> OWASP Authentication Cheat Sheet
Evento sem auditoria -> OWASP Logging Cheat Sheet
Segmentacao interna fraca -> OWASP Network Segmentation Cheat Sheet
Comando no sistema -> OWASP OS Command Injection Defense Cheat Sheet
Segredo em arquivo/config -> OWASP Secrets Management Cheat Sheet

Validação e Evidência

• Explique qual controle OWASP falhou e qual evidência comprova essa falha.
• Inclua o comportamento esperado após correção, como bloqueio, registro, rotação ou validação.
• Quando o controle for arquitetura, descreva fronteira, identidade, fluxo e ponto de enforcement.
• Use OWASP como baseline defensivo e ATT&CK como classificação de comportamento adversário.

Mitigação e Detecção

• Traduzir cada recomendação em controle testável: política, regra, validação, log, alerta ou processo.
• Priorizar controles que removem a pré-condição do ataque antes de depender apenas de alerta.
• Adicionar logging suficiente para reteste e investigação sem expor segredo ou dado sensível.