2026-05-09 –, Sala de Exposições (3º piso) Language: Português brasileiro
O Owasp Top 10 Web evoluiu significativamente ao longo das últimas duas décadas, refletindo mudanças profundas no desenvolvimento e na arquitetura de aplicações. O que antes era centrado em vulnerabilidades clássicas, como injection e XSS, hoje incorpora falhas de design, problemas em arquiteturas distribuídas, uso intensivo de APIs, dependências de terceiros e riscos associados à cadeia de software.
Nesta palestra, analisamos essa evolução sob uma perspectiva técnica, correlacionando as mudanças do Top 10 com transformações como a adoção de microsserviços, computação em nuvem, frameworks modernos, novas regulamentações, etc.
Serão apresentados exemplos práticos que demonstram como essas vulnerabilidades se manifestam em cenários reais, incluindo falhas de controle de acesso, configurações inseguras e riscos introduzidos por componentes externos.
Além disso, discutimos como decisões técnicas impactam diretamente a superfície de ataque e o nível de exposição das aplicações, conectando aspectos de implementação a riscos operacionais e de negócio. O objetivo é fornecer uma visão técnica e de alto nível que apoie desenvolvedores, profissionais de segurança na priorização de controles e na construção de aplicações mais resilientes frente às ameaças atuais.
O Owasp Top 10 Web evoluiu ao longo das últimas duas décadas como um reflexo direto das mudanças no desenvolvimento de software e na superfície de ataque das aplicações. Inicialmente centrado em vulnerabilidades clássicas, como SQL Injection e cross-site scripting (XSS), o Top 10 passou a incorporar riscos mais complexos, incluindo falhas de design, problemas em arquiteturas distribuídas, dependências de terceiros e exposições na cadeia de software.
Nesta palestra, realizamos uma análise técnica comparativa entre diferentes versões do Owasp Top 10, destacando como a evolução de tecnologias e práticas de desenvolvimento influenciou diretamente a natureza das vulnerabilidades. Serão abordados aspectos como a consolidação de categorias de falhas, a ascensão de riscos relacionados a controle de acesso, a adição da falta de controles de segurança (como WAF) como um risco de segurança, o impacto da adoção de frameworks modernos e a expansão de ambientes baseados em microsserviços e computação em nuvem.
Serão apresentados exemplos técnicos que demonstram como essas vulnerabilidades se manifestam em cenários reais, conectando conceitos teóricos a situações práticas observadas no dia a dia. Ao mesmo tempo, a palestra reforça que vulnerabilidades históricas, como SQL Injection e XSS, permanecem relevantes, coexistindo com riscos mais recentes, o que aumenta a complexidade da proteção de aplicações modernas e torna o trabalho dos devs, pentesters, blue team, mais díficil.
Além disso, será abordada a evolução das ferramentas de segurança utilizadas em atividades de análise, teste e monitoramento, bem como uma visão geral de como o ecossistema do crime digital evoluiu e influenciou a priorização dos principais vetores de ataque.
O objetivo é fornecer uma visão técnica, permitindo que desenvolvedores, profissionais de segurança e entusiastas compreendam melhor como as mudanças no Owasp Top 10 refletem transformações reais no cenário de ameaças, e como essas informações podem ser utilizadas para priorizar controles e tornar aplicações mais resilientes.
Especialista em Redes pela Unicamp com MBA em Data Security pela USP. Possuo mais de 10 anos de experiência em Segurança da Informação. Experiencia com Accenture, RSA, Samsung, e atualmente estouna RNP como Arquiteto de Segurança Sênior.
Minha trajetória profissional inclui uma sólida atuação na área ofensiva, onde desenvolvi habilidades avançadas em pentest, design seguro, criptografia aplicada, privacidade, segurança de dispositivos móveis, crime digital e aplicações web. Hoje, utilizo esse conhecimento para proteger redes e serviços, tornando-os mais resilientes. Nosso backbone conecta estudantes dos institutos federais e pesquisadores, com estrutura própria (incluindo cabos submarinos) e milhões de usuários.