No meu e-book, explico:
• por que configurações inseguras são tão comuns
• como elas são exploradas na prática
• quais controles evitam esse tipo de falha
Segurança também é operacional — não apenas técnica.
Na OWASP Top 10:2025, esse risco aparece como A02: Configuração Inadequada de Segurança, reforçando que segurança não termina no deploy.
Painéis administrativos expostos, debug ativado em produção, permissões excessivas, mensagens de erro detalhadas, serviços desnecessários ativos — tudo isso cria atalhos para atacantes, mesmo quando a aplicação foi bem desenvolvida.
Configuração insegura também é vulnerabilidade — OWASP Top 10:2025
🔐 A02 — Configuração Inadequada de Segurança
Muitas falhas graves não surgem de código “mal escrito”, mas de configurações inseguras deixadas no ambiente.
#OWASP #Criptografia #SegurançaWeb #AppSec #OWASPTop10 #Desenvolvimento #bolhadev #bolhasec #bolhatech
And almost no Tesla at all (have never seen one).
Serviu para dar uma turbinada na minha timeline, tava meio paradona
No meu e-book, eu mostro:
- exemplos reais e didáticos
- por que ORMs e frameworks não resolvem isso sozinhos
- como pensar controle de acesso como regra de negócio, não como detalhe técnico
👉 Nos próximos posts, vou destrinchar mais vulnerabilidades do Top 10.
Resultado:
- usuários acessando dados de outros usuários
- funções administrativas expostas
- vazamentos silenciosos e difíceis de detectar
Esse é o A01 – Falha no controle de acesso.
Falhas de controle de acesso continuam liderando a OWASP Top 10 porque:
- APIs confiam demais no cliente
- Endpoints não validam o proprietário do recurso
- A lógica de autorização fica espalhada (ou inexistente)
Imagem com fundo abstrato verde. Texto central: ‘Controle de acesso ainda é o maior erro da Web’. No rodapé: ‘OWASP Top 10: 2025’.
Você não precisa quebrar criptografia para invadir um sistema. Na maioria das vezes, basta pedir algo que você não deveria poder acessar.
Você já encontrou esse tipo de falha em algum sistema?
#OWASP #Segurança #DesenvolvimentoWeb #APIs #AppSec #OWASPTop10 #bolhatech #bolhadev
Cabine dupla e sentido duplo.
- Reunião Presencial que podia ser Online
- Reunião Online que podia ser um E-mail
- E-mail que poderia ser só a Pessoa ter feito o trabalho certo na hora certa.
Veganos like it.
Ah, pronto. Agora é preciso chamar advogado para conseguir assistir a uma simples série
Cadê a touca para não molhar os cabelos?
Vaquinhas: não compre, cultive
Por isso ele é o líder dos Thundercats.
flis zatal cersibon
Don't let M. Night Shyamalan know of it, that's such a plot twist.
And "mezinha" looks more like a misspell of "mesinha" ("little table (desk)").
Apart from "agueiro", whose meaning can be inferred by its likeliness to "água", those words now belong to dictionaries only.
Those three words sound to me as if they came straight from some old book from 18th or 19th centuries.
Well, let I try:
Agueiro ~> sarjeta (BR), berma (PT)
Mezinha ~> remédio (generic term for "medicine", I think the specific meaning got lost)
Sestro ~> esquerda (general term for "left"), sinistro ("awful")
"Agueiro", "mezinha" and "sestro", all inherited words, aren't of current use anymore. Their late borrowed counterparts are the everyday terms now.
De "patriota" a apátrida, o roteirista do Brasil está tomando banho em ironia.
Retuitei mais cedo, mas queria compartilhar de novo o texto da @iedamarcondes.com, que foi a melhor coisa que eu li sobre Vivo ou Morto (Wake Up Dead Man, enfim, o filme lá do Rian Johnson)
www.iedamarcondes.com/a-linha-invi...
a sign I THOUGHT ARIANA GRANDE WAS A FONT
For those that don't work at first, there's always the cigarette lighter trick. That's what pentesters use to do.
E isso porque já tivemos Eduardo Cunha.