Lançado o OWASP Top 10 2025 – O que precisas de saber
Publicado em: 28 Nov 2025
O OWASP Top 10 há muito que é reconhecido como a referência global para compreender e enfrentar os desafios mais críticos da segurança das aplicações Web. Atualizado a cada poucos anos, adapta-se para destacar as últimas tendências de ataque, mudanças tecnológicas e insights de incidentes do mundo real.
A edição de 2025 marca uma das actualizações mais significativas dos últimos anos. Ao introduzir duas novas categorias e consolidar as existentes, a OWASP muda o seu foco para as causas de raiz em vez de sintomas isolados – tornando esta versão mais alinhada com a forma como as ameaças actuais realmente se desenvolvem.
O que há de novo no OWASP Top 10 2025?
A lista actualizada inclui agora dez categorias refinadas:
- Controlo de acesso deficiente
Quando os utilizadores podem ver ou fazer coisas que não deviam – muitas vezes uma das maiores causas de violações de dados. - Erros de configuração de segurança
Erros simples de configuração em servidores, serviços em nuvem ou estruturas que deixam as portas abertas aos atacantes. - Falhas na cadeia de fornecimento de software (novo)
Riscos provenientes de ferramentas, bibliotecas e componentes de terceiros nos quais o teu software depende – um alvo cada vez maior para os atacantes. - Falhas criptográficas
Problemas com a forma como os dados sensíveis são protegidos, incluindo encriptação desactualizada ou incorretamente utilizada. - Injeção
Situações em que os atacantes introduzem código ou comandos nocivos numa aplicação porque as entradas não foram verificadas corretamente - Conceção insegura
Lacunas de segurança incorporadas desde o início, muitas vezes porque a modelação de ameaças ou as práticas de conceção segura foram ignoradas. - Falhas de autenticação
Processos de início de sessão fracos ou verificações de identidade quebradas que permitem aos atacantes fazerem-se passar por utilizadores reais. - Falhas de integridade do software ou dos dados
Quando os sistemas confiam nos dados errados ou nas fontes de atualização, dando aos atacantes a possibilidade de interferir com os componentes principais. - Falhas de registo e alerta
Monitorização ineficaz (ou falta de) que faz com que os ataques passem despercebidos até que os danos reais sejam causados. - Manuseamento incorreto de condições excepcionais (novo)
Quando as aplicações não lidam bem com situações inesperadas – como timeouts, sobrecargas ou entradas estranhas – criando aberturas para os atacantes.
Guia Prático para Programadores, CISOs e Equipas de Conformidade
O OWASP Top 10 é um guia prático para programadores, CISOs e equipas de conformidade para dar prioridade aos riscos e reforçar as defesas. Com a adição da segurança da cadeia de fornecimento e do tratamento de erros, a atualização de 2025 destaca o cenário de ameaças em evolução e a necessidade de uma resiliência proactiva.
Estamos a conceber uma série de conteúdos e recursos para ajudar as organizações a compreender e a lidar com cada um destes riscos, que serão lançados no novo ano financeiro. O objetivo destes recursos é dar aos líderes empresariais e às suas equipas conhecimentos práticos e formação para se manterem à frente dos riscos em evolução.
Para te manteres a par das últimas tendências de segurança, visita a nossa página de recursos.
Perguntas frequentes sobre o OWASP Top 10 2025
O que é a OWASP?
OWASP (Open Web Application Security Project) é uma organização global sem fins lucrativos dedicada a melhorar a segurança das aplicações Web. Fornece as melhores práticas, ferramentas e recursos para ajudar as organizações a identificar e mitigar os riscos de cibersegurança.
O que é o OWASP Top 10 2025?
O OWASP Top 10 2025 é uma lista selecionada dos dez riscos mais críticos para a segurança das aplicações Web. Reflecte as ameaças actuais, as vulnerabilidades emergentes e as últimas tendências de ataque para ajudar as organizações a reforçar as suas defesas.
Porque é que a atualização OWASP 2025 é importante?
A atualização de 2025 introduz novas categorias e centra-se nas causas fundamentais das falhas de segurança. Isto ajuda as organizações a prevenir melhor os ataques, a melhorar a gestão do risco e a dar prioridade às medidas de cibersegurança de forma eficaz.
Quem deve utilizar o OWASP Top 10 2025?
Os programadores, líderes de segurança, equipas de TI e profissionais de conformidade utilizam o OWASP Top 10 2025 para identificar vulnerabilidades, dar prioridade aos riscos e implementar estratégias robustas de segurança de aplicações Web.
O que são falhas na cadeia de fornecimento de software?
As falhas na cadeia de fornecimento de software ocorrem quando as vulnerabilidades em bibliotecas, ferramentas ou serviços de terceiros são exploradas por atacantes. Esta ameaça crescente é um foco chave no OWASP Top 10 2025, uma vez que os ataques à cadeia de fornecimento podem comprometer sistemas inteiros.
Onde posso obter recursos para o OWASP Top 10 2025?
As organizações podem aceder a guias, formação e ferramentas práticas para lidar com os 10 principais riscos de 2025 da OWASP na página de recursos da MetaCompliance. Estes recursos suportam uma gestão proactiva da segurança das aplicações Web.