{"id":5140,"date":"2023-07-04T16:23:54","date_gmt":"2023-07-04T19:23:54","guid":{"rendered":"https:\/\/base4sec.com\/nao-categorizado\/guia-de-owasp-para-apis-2023\/"},"modified":"2025-02-26T08:55:52","modified_gmt":"2025-02-26T11:55:52","slug":"guia-de-owasp-para-apis-2023","status":"publish","type":"post","link":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/","title":{"rendered":"Guia OWASP para APIs 2023"},"content":{"rendered":"<div class=\"referencias-nota-title\">\n<p class=\"cuerpo-nota\">Como desenvolvedores e\/ou respons\u00e1veis pela seguran\u00e7a de uma empresa, aplicativo, informa\u00e7\u00e3o e um longo etc., devemos ser capazes de definir o limite do certo e do errado ao construir e projetar suas arquiteturas. Muitas vezes acontece que no processo esquecemos de levar em conta os erros mais comuns cometidos por outros desenvolvedores ou, quando \u00e9 diferente disso, esquecemos tamb\u00e9m os principais interesses dos atacantes. Se tiv\u00e9ssemos que nos manter atualizados por conta pr\u00f3pria, seria uma tarefa tit\u00e2nica, pois as vulnerabilidades e os interesses dos atacantes por novos horizontes t\u00eam uma taxa de varia\u00e7\u00e3o exponencial.<\/p>\n<p>Isso levanta uma s\u00e9rie de quest\u00f5es quando se trata de propor um design seguro para um aplicativo da Web, servi\u00e7o da Web e\/ou aplicativo m\u00f3vel; Como nos mantemos atualizados, como lidamos com essa onda de not\u00edcias sem nos esquecermos do que \u00e9 mais importante? Poder\u00edamos facilmente dizer que o mais conveniente seria fazer uma lista das vulnerabilidades mais conhecidas com base na experi\u00eancia pessoal, mas a\u00ed estar\u00edamos levando em conta apenas uma \u00fanica vis\u00e3o da situa\u00e7\u00e3o, embora seja desej\u00e1vel que as empresas tenham um hist\u00f3rico de vulnerabilidades ou falhas anteriores para poder aplic\u00e1-las \u00e0 melhoria cont\u00ednua, tamb\u00e9m \u00e9 verdade que esse hist\u00f3rico ser\u00e1 baseado em um \u00fanico tipo de arquitetura e\/ou um \u00fanico tipo de aplicativo. No curto prazo, isso pode n\u00e3o ter impacto no n\u00edvel da empresa, mas se a empresa estiver constantemente imersa em processos de inova\u00e7\u00e3o, como deveria estar, ela sempre se encontrar\u00e1 no dilema de mudar constantemente a arquitetura e propor melhorias aos processos usuais desenvolvidos diariamente, levando-a a implementar novas funcionalidades e novas tecnologias que poderiam estar em risco sob a perspectiva desse hist\u00f3rico (baseado em uma arquitetura obsoleta).<\/p>\n<p>\u00c9 nesse ponto que temos de embaralhar e dar as cartas novamente, colocando-as em uma ordem alternativa que proporcione novos pontos de vista. Por que investir esfor\u00e7os na elabora\u00e7\u00e3o de estat\u00edsticas e na compila\u00e7\u00e3o de registros hist\u00f3ricos se pode haver algu\u00e9m que tenha feito a mesma coisa antes, mas n\u00e3o apenas com refer\u00eancia a uma arquitetura espec\u00edfica, mas tamb\u00e9m a muitas situa\u00e7\u00f5es que ocorreram em diferentes campos?<\/p>\n<p>Esse \u00e9 o caso do\u00a0<b>OWASP, (Open Worldwide Application Security Project<\/b>). Um projeto que surgiu da necessidade de destacar os interesses mais comuns dos invasores com base nos erros que os desenvolvedores cometem ao longo do ciclo de desenvolvimento de software, a comunidade\u00a0<b>OWASP<\/b>\u00a0\u00e9 formada por empresas, organiza\u00e7\u00f5es educacionais e indiv\u00edduos de todo o mundo. Juntos, eles formam uma comunidade de seguran\u00e7a de computadores que trabalha para criar artigos, metodologias, documenta\u00e7\u00e3o, ferramentas e tecnologias que s\u00e3o lan\u00e7adas e podem ser usadas gratuitamente por qualquer pessoa. Atualizando as principais tend\u00eancias, como consequ\u00eancia dos aprimoramentos existentes nos processos de desenvolvimento seguro. Essa organiza\u00e7\u00e3o, que nasceu focada em erros associados a aplicativos da Web, tem hoje v\u00e1rias vers\u00f5es, tipificando as vulnerabilidades mais exploradas e agrupando-as de acordo com a natureza do aplicativo. Atualmente, temos\u00a0<b>o OWASP Web, o OWASP Mobile, e o OWASP API<\/b>, que ser\u00e3o detalhados neste artigo:<\/p>\n<p><span class=\"subtitulo-nota\">OWASP &#8211; API 2023<\/span><\/p>\n<p>Um elemento fundamental da inova\u00e7\u00e3o no mundo atual orientado por aplicativos \u00e9 a interface de programa\u00e7\u00e3o de aplicativos (API). De bancos, varejo, transporte a IoT, ve\u00edculos aut\u00f4nomos e cidades inteligentes, as APIs s\u00e3o uma parte fundamental dos aplicativos m\u00f3veis, SaaS e da Web modernos e, como s\u00e3o comumente encontradas no n\u00edvel do cliente, est\u00e3o se tornando um alvo principal para os invasores quando s\u00e3o descuidados em sua implementa\u00e7\u00e3o.<\/p>\n<p>Embora o conceito de uma API seja simples, um servi\u00e7o que fornece um recurso e uma interface do outro lado que consome os v\u00e1rios recursos, conforme mostrado na imagem; a maioria dos desenvolvedores pula o processo de proteg\u00ea-los, talvez por uma falsa sensa\u00e7\u00e3o de seguran\u00e7a que os leva a pensar que um invasor, sem saber como funciona, n\u00e3o ter\u00e1 como alvo esses servi\u00e7os porque eles est\u00e3o fora da superf\u00edcie de ataque. Na realidade, o oposto \u00e9 verdadeiro.<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_47a.png\" \/><\/center><\/p>\n<h5><\/h5>\n<p class=\"cuerpo-nota\">Veja a seguir as 10 vulnerabilidades mais frequentes nessa \u00e1rea:<\/p>\n<p><span class=\"subtitulo-nota\">API1 &#8211; Broken Object Level Authorization<\/span><\/p>\n<p>A autoriza\u00e7\u00e3o no n\u00edvel do objeto \u00e9 um mecanismo de controle de acesso, geralmente implementado no n\u00edvel do c\u00f3digo, respons\u00e1vel por validar que um usu\u00e1rio acesse somente os objetos que ele tem permiss\u00e3o para acessar. Supondo que um usu\u00e1rio apresente suas credenciais \u00e0 interface hospedada no telefone e depois queira acessar outro recurso fornecido pelo servi\u00e7o, como segue:<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_47b.png\" \/><\/center><\/p>\n<h5>Se for retorndo ao sistema qualquer objeto n\u00e3o relacionado \u00e0s suas credenciais e essa prote\u00e7\u00e3o falhar, estaremos na presen\u00e7a de uma autoriza\u00e7\u00e3o de n\u00edvel de objeto quebrada, de modo que um invasor poder\u00e1 acessar facilmente qualquer objeto.<\/h5>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_47c.png\" \/><\/center><\/p>\n<h5><\/h5>\n<p class=\"cuerpo-nota\"><span class=\"subtitulo-nota\">API2 &#8211; Broken Authentication<\/span><\/p>\n<p>Essa falha, comum tamb\u00e9m em aplicativos da Web, pode se manifestar em v\u00e1rias vulnerabilidades porque, quando nos deparamos com um endpoint de API, h\u00e1 um desafio inicial para consumir a API e come\u00e7ar a trocar recursos.<\/p>\n<p>H\u00e1 v\u00e1rios casos em que isso pode ocorrer:<\/p>\n<ul>\n<li>Se a API estiver vulner\u00e1vel a ataques de\u00a0<b>Credential Stuffing<\/b>, em que os invasores usam credenciais conhecidas de contas e\/ou nomes de usu\u00e1rio vazados em um vazamento recente.<\/li>\n<li>Se a API permitir senhas fracas ou mecanismos de autentica\u00e7\u00e3o fracos, como: Autentica\u00e7\u00e3o b\u00e1sica<\/li>\n<li>Se a API trocar dados por meio de par\u00e2metros GET, isso permitir\u00e1 o vazamento de dados de autentica\u00e7\u00e3o por meio da mem\u00f3ria ociosa hospedada no dispositivo da v\u00edtima.<\/li>\n<li>Se os tokens JWT forem usados, mas n\u00e3o validados durante a transa\u00e7\u00e3o.<\/li>\n<li>Se os tokens usados n\u00e3o tiverem a data de validade correta configurada<\/li>\n<li>Se o endpoint n\u00e3o tiver prote\u00e7\u00e3o contra ataques de for\u00e7a bruta (implementa\u00e7\u00e3o ruim ou inexistente de captcha).<\/li>\n<li>Se algoritmos fracos forem usados para criptografia de dados, em repouso e em tr\u00e2nsito.<\/li>\n<\/ul>\n<h5><span class=\"subtitulo-nota\">Cen\u00e1rio em potencial:<\/span><\/h5>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Um invasor invoca o m\u00f3dulo reset-password, o que resulta na invoca\u00e7\u00e3o de um m\u00f3dulo semelhante a este \/api\/v1\/reset-password.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h5><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_47d.png\" \/><\/h5>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Em seguida, a API envia automaticamente um comando de redefini\u00e7\u00e3o para o usu\u00e1rio 456 e, como consequ\u00eancia, o servi\u00e7o envia um token de redefini\u00e7\u00e3o de 5 d\u00edgitos para a caixa de correio do usu\u00e1rio afetado. Na interface, voc\u00ea ser\u00e1 solicitado a inserir o token.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h5><\/h5>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Ao inserir qualquer token, o invasor captura a solicita\u00e7\u00e3o e pode ler uma solicita\u00e7\u00e3o semelhante a esta;<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h5><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_47e.png\" \/><\/h5>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Como o servi\u00e7o da Web n\u00e3o tem a prote\u00e7\u00e3o adequada, o invasor pode executar uma for\u00e7a bruta com a ferramenta Burp para adivinhar o token de 5 d\u00edgitos, estando na presen\u00e7a de um ataque de autentica\u00e7\u00e3o de usu\u00e1rio quebrada.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h5><\/h5>\n<p>&nbsp;<\/p>\n<p class=\"cuerpo-nota\"><span class=\"subtitulo-nota\">API3 &#8211; Broken Object Property Level Authorization<\/span><\/p>\n<p>Essa categoria de vulnerabilidades combina duas vulnerabilidades descritas na revis\u00e3o de 2019 associadas a APIs, em que temos exposi\u00e7\u00e3o excessiva de dados e atribui\u00e7\u00e3o em massa, basicamente focadas na manipula\u00e7\u00e3o de informa\u00e7\u00f5es confidenciais e na exposi\u00e7\u00e3o desse tipo de informa\u00e7\u00e3o, referentes \u00e0s propriedades dos objetos.<\/p>\n<p>Um exemplo simples dessa vulnerabilidade poderia ser o seguinte;<\/p>\n<ul>\n<li>El usuario ingresa el n\u00famero de tarjeta y los datos correspondientes para realizar una compra.<\/li>\n<li>Luego estos datos son transferidos desde el API gateway a la \u201cAPI Interna\u201d. (Hasta aqu\u00ed ning\u00fan inconveniente)<\/li>\n<li>Al recibir estos datos, la API env\u00eda una respuesta con muchos m\u00e1s datos de los que deber\u00eda enviar al usuario.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_47f.png\" \/><\/center><\/p>\n<h5><\/h5>\n<p class=\"cuerpo-nota\"><span class=\"subtitulo-nota\">API4 &#8211; Unrestricted Resource Consumption<\/span><\/p>\n<p>Algumas consultas exigem recursos como largura de banda, consumo de CPU, mem\u00f3ria e armazenamento, e outras t\u00eam esse poder de processamento delegado aos provedores de servi\u00e7os, pois \u00e9 muito prov\u00e1vel que nem todas as APIs de um aplicativo estejam sob o controle da empresa que desenvolve o aplicativo. Muitas estruturas usam APIs de terceiros e pagam por solicita\u00e7\u00e3o, portanto, esses ataques est\u00e3o associados a custos de manuten\u00e7\u00e3o prejudiciais para essas APIs.<\/p>\n<p>Por exemplo:<\/p>\n<ul>\n<li>Um m\u00f3dulo de autentica\u00e7\u00e3o tem um formul\u00e1rio de recupera\u00e7\u00e3o de senha.<\/li>\n<li>Esse formul\u00e1rio de recupera\u00e7\u00e3o de senha tem um servi\u00e7o externo de envio de SMS que incorre em um custo para cada solicita\u00e7\u00e3o gerada.<\/li>\n<li>Um invasor encontra uma maneira de consumir esse servi\u00e7o gratuitamente, usando esse envio de SMS para outros fins sem a necessidade de apresentar credenciais.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_47g.png\" \/><\/center><\/p>\n<h5><\/h5>\n<p class=\"cuerpo-nota\"><span class=\"subtitulo-nota\">API5 &#8211; Broken Function Level Authorization<\/span><\/p>\n<p>Em primeiro lugar, os atacantes procuram um alvo que contenha dois ou mais tipos de conta. Pode ser um usu\u00e1rio comum, encarregado das tarefas habituais de seu perfil e, em outro caso, pode ser um usu\u00e1rio administrador, encarregado de ter uma vis\u00e3o geral de todo o problema. Ao capturar v\u00e1rias chamadas para a respectiva API, o invasor encontra um par\u00e2metro oculto que se refere ao tipo de conta e, assim, passa a alter\u00e1-lo, permitindo o acesso a uma fun\u00e7\u00e3o de outro usu\u00e1rio que n\u00e3o corresponde \u00e0s suas tarefas.<\/p>\n<p>Em resumo, no tratamento da autoriza\u00e7\u00e3o, essas APIs vulner\u00e1veis n\u00e3o controlam adequadamente o acesso a fun\u00e7\u00f5es que correspondem a perfis mais avan\u00e7ados.<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_47h.png\" \/><\/center><\/p>\n<h5><\/h5>\n<p><center>Nessa imagem, o invasor simplesmente substitui o m\u00f3dulo usu\u00e1rios por administrador e acessar todas as informa\u00e7\u00f5es dos usu\u00e1rios.<\/center><\/p>\n<h5><\/h5>\n<p>&nbsp;<\/p>\n<p class=\"cuerpo-nota\"><span class=\"subtitulo-nota\">API6 &#8211; Unrestricted Access to sensitive business flows<\/span><\/p>\n<p>Ao criar um endpoint, \u00e9 muito importante entender quais s\u00e3o os fluxos de neg\u00f3cios mais importantes, geralmente aqueles que carregam as informa\u00e7\u00f5es mais cr\u00edticas da empresa e de suas opera\u00e7\u00f5es, de modo que proteg\u00ea-los se torna a principal tarefa de todo programador. Se esses fluxos forem expostos, poderemos ter um impacto de m\u00e9dio a cr\u00edtico na opera\u00e7\u00e3o do aplicativo, dependendo do fluxo de neg\u00f3cios que foi exposto por meio dessas falhas.<\/p>\n<p>Alguns exemplos comuns de fluxos de neg\u00f3cios expostos s\u00e3o apresentados nas seguintes situa\u00e7\u00f5es:<\/p>\n<ul>\n<li>Um invasor que tem a capacidade de comprar todos os produtos que est\u00e3o em alta demanda devido aos pontos fracos dos aplicativos e depois vend\u00ea-los por um pre\u00e7o mais alto.<\/li>\n<li>Criar SPAM em um sistema que tenha exposto o fluxo de cria\u00e7\u00e3o de coment\u00e1rios e\/ou postagens.<\/li>\n<li>Um fluxo de reservas de assentos em um cinema que, quando exposto, d\u00e1 ao invasor a possibilidade de reservar todos os assentos.<\/li>\n<\/ul>\n<h5><\/h5>\n<p class=\"cuerpo-nota\">Como vimos nesses tr\u00eas casos, as APIs apresentam essas vulnerabilidades porque a autentica\u00e7\u00e3o n\u00e3o \u00e9 necess\u00e1ria para usar esses recursos. Isso permite que um usu\u00e1rio ignore o fluxo normal do aplicativo e v\u00e1 para fluxos alternativos que n\u00e3o correspondem ao fluxo natural do aplicativo.<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_47i.png\" \/><\/center><\/p>\n<h5><\/h5>\n<p><center>Imagem extra\u00edda do site\u00a0<a href=\"https:\/\/medium.com\/\">https:\/\/medium.com\/<\/a><\/center><\/p>\n<h5><\/h5>\n<p class=\"cuerpo-nota\"><span class=\"subtitulo-nota\">API7 &#8211; Server Side Request Forgery<\/span><\/p>\n<p>Essa vulnerabilidade ocorre quando uma API permite consultas HTTP do lado do servidor a um dom\u00ednio arbitr\u00e1rio da escolha do invasor.<\/p>\n<p>Isso permite que um invasor se conecte aos servi\u00e7os de infraestrutura interna onde a API est\u00e1 hospedada e vaze informa\u00e7\u00f5es confidenciais.<\/p>\n<p>Os casos s\u00e3o variados, mas vamos dar uma olhada em como um invasor pode roubar as chaves do AWS de uma empresa.<\/p>\n<ul>\n<li>\u2981 Suponha que uma solicita\u00e7\u00e3o da Web que consulta o estoque de um produto tenha a apar\u00eancia mostrada nas imagens abaixo.<\/li>\n<li>\u2981 Nesse caso, um invasor poderia modificar a consulta para, em vez de solicitar dados de estoque do produto, solicitar metadados da API e encontrar uma lista de fun\u00e7\u00f5es v\u00e1lidas.<\/li>\n<li>\u2981 Embora a API tenha inicialmente uma restri\u00e7\u00e3o de acesso que impede a realiza\u00e7\u00e3o de consultas externas, a consulta \u00e9 origin\u00e1ria do servidor. Portanto, a API responder\u00e1 \u00e0 consulta como se estivesse autorizada a faz\u00ea-lo.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_47j.png\" \/><\/center><\/p>\n<h5><\/h5>\n<p class=\"cuerpo-nota\"><span class=\"subtitulo-nota\">API8 &#8211; Security Misconfiguration<\/span><\/p>\n<p>Assim como nos aplicativos da Web, h\u00e1 configura\u00e7\u00f5es de seguran\u00e7a ruins nas APIs. Isso ocorre quando o\u00a0<b>hardening<\/b>\u00a0correto da plataforma n\u00e3o \u00e9 aplicado ou quando as permiss\u00f5es s\u00e3o configuradas incorretamente ao implant\u00e1-las. Entre os problemas a serem revisados, os desenvolvedores tendem a omitir a maioria daqueles que s\u00e3o relacionados \u00e0 seguran\u00e7a devido \u00e0 falta de automa\u00e7\u00e3o no est\u00e1gio de teste. Entre as poss\u00edveis configura\u00e7\u00f5es incorretas est\u00e3o as seguintes:<\/p>\n<ul>\n<li>Patches atualizados mais recentes<\/li>\n<li>Servi\u00e7os desnecess\u00e1rios ativados<\/li>\n<li>Falta de controles e\/ou diretivas de cache<\/li>\n<li>Falta de pol\u00edtica sobre o uso de CORS<\/li>\n<li>Manuseio incorreto de erros<\/li>\n<\/ul>\n<h5><\/h5>\n<p class=\"cuerpo-nota\"><span class=\"subtitulo-nota\">API9 &#8211; Improper Inventory Management<\/span><\/p>\n<p>As APIs tendem a expor mais pontos de extremidade do que os aplicativos da Web tradicionais, o que leva os desenvolvedores a criar a documenta\u00e7\u00e3o correspondente da opera\u00e7\u00e3o de cada uma das APIs correspondentes. O invent\u00e1rio adequado deve ser preservado porque, se a documenta\u00e7\u00e3o for perdida ou vazada, os invasores poder\u00e3o expandir sua superf\u00edcie de ataque, maximizando seu conhecimento sobre como lidar com os servi\u00e7os expostos.<\/p>\n<p>Essa vulnerabilidade, juntamente com a falta de prote\u00e7\u00e3o, torna-se a principal bomba-rel\u00f3gio associada a esses problemas. Devemos sempre nos perguntar, para cada API, se todos os\u00a0<b>endpoints<\/b>\u00a0atuais devem estar dispon\u00edveis, a fim de aplicar o princ\u00edpio do menor privil\u00e9gio a toda a configura\u00e7\u00e3o da arquitetura.<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_47k.png\" \/><\/center><\/p>\n<h5><\/h5>\n<p><center>Nesta imagem, vemos a poss\u00edvel complexidade de documentar a opera\u00e7\u00e3o de uma arquitetura que adiciona diferentes APIs \u00e0 medida que elas s\u00e3o necess\u00e1rias.<\/center><\/p>\n<h5><\/h5>\n<p class=\"cuerpo-nota\">Em um caso de exemplo, vamos supor que, al\u00e9m disso, temos o seguinte URL:<\/p>\n<p>\u2981 &lt;\u00a0<a href=\"http:\/\/website:5555\/api\/v2\/res\/\/all\">http:\/\/WEBSITE:5555\/api\/v2\/res\/\/all<\/a>\u00a0&gt;<\/p>\n<p>Se prestarmos aten\u00e7\u00e3o especial \u00e0 constru\u00e7\u00e3o da url, perceberemos que estamos trabalhando com a vers\u00e3o 2 da mesma. Um invasor que entenda esse tipo de opera\u00e7\u00e3o poderia substituir a v2 por uma v1, para ver quais m\u00f3dulos estavam dispon\u00edveis relacionados \u00e0 vers\u00e3o anterior da API. Muitas vezes, os desenvolvedores restringem m\u00f3dulos que n\u00e3o usam na nova vers\u00e3o, mas negligenciam vers\u00f5es anteriores que poderiam estar ativas como resultado de uma pesquisa incorreta ao criar o invent\u00e1rio.<\/p>\n<p><span class=\"subtitulo-nota\">API10- Unsafe Consumption of APIs<\/span><\/p>\n<p>Os desenvolvedores tendem a receber dados de APIs de terceiros e, muitas vezes, esses consumos que est\u00e3o sob a \u00f3rbita da arquitetura corporativa n\u00e3o t\u00eam um tratamento de seguran\u00e7a adequado ao restante dos fluxos do aplicativo que consome esses servi\u00e7os.<\/p>\n<p>Assim, a neglig\u00eancia desses componentes cria uma superf\u00edcie de ataque interessante do ponto de vista do criminoso cibern\u00e9tico, pois ele pode usar esses recursos para prejudicar a opera\u00e7\u00e3o do aplicativo.<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_47l.png\" \/><\/center><\/p>\n<h5><\/h5>\n<p>&nbsp;<\/p>\n<p class=\"cuerpo-nota\">Como pode ser visto na imagem, se eu tiver meus endpoints de API e eles forem controlados, por exemplo, por um API Management de terceiros, um invasor que encontrar uma falha nesse componente de terceiros poder\u00e1 violar toda a arquitetura projetada anteriormente. \u00c9 por isso que os desenvolvedores precisam estar constantemente cientes das falhas que podem existir nos sistemas que s\u00e3o contratados e terceirizados.<\/p>\n<p><span class=\"subtitulo-nota\">Recomenda\u00e7\u00f5es<\/span><\/p>\n<p>Ao pensar em como nos proteger desses problemas, eu diria que o que precisamos fazer \u00e9 aumentar nossa conscientiza\u00e7\u00e3o sobre os ativos de TI que implantamos quando criamos um aplicativo. \u00c9 importante seguir as recomenda\u00e7\u00f5es da OWASP em cada ponto para poder executar uma implementa\u00e7\u00e3o correta das APIs e n\u00e3o abusar da poss\u00edvel ignor\u00e2ncia dos invasores. Convidamos voc\u00ea a visitar o\u00a0<a href=\"https:\/\/owasp.org\/www-project-api-security\/\">OWASP API security Project<\/a>\u00a0para obter solu\u00e7\u00f5es mais espec\u00edficas para cada caso. Se voc\u00ea gostou deste post e quer que fa\u00e7amos um relacionado \u00e0s recomenda\u00e7\u00f5es, deixe sua opini\u00e3o nos coment\u00e1rios.<\/p>\n<p><span class=\"subtitulo-nota\">Conclus\u00e3o<\/span><\/p>\n<p>O principal erro \u00e9, em primeiro lugar, acreditar que ningu\u00e9m prestar\u00e1 aten\u00e7\u00e3o a um determinado ponto de nossa arquitetura e, al\u00e9m disso, acreditar que a seguran\u00e7a por obscuridade (uso de design secreto como medida de prote\u00e7\u00e3o, seguran\u00e7a por ignor\u00e2ncia) \u00e9 o mecanismo mais eficaz para nos defendermos quando, na realidade, em muitas ocasi\u00f5es os invasores sabem mais do que n\u00f3s sobre nosso pr\u00f3prio aplicativo.<\/p>\n<h5><\/h5>\n<h5><\/h5>\n<h5>Refer\u00eancias<\/h5>\n<\/div>\n<div>\n<p>\u2981\u00a0<a href=\"https:\/\/owasp.org\/\">https:\/\/owasp.org<\/a><br \/>\n\u2981\u00a0<a href=\"https:\/\/owasp.org\/API-Security\/editions\/2023\/en\/\">https:\/\/owasp.org\/API-Security\/..<\/a><br \/>\n\u2981\u00a0<a href=\"https:\/\/www.darkrelay.com\/post\/owasp-api-top-10-2023\">https:\/\/www.darkrelay.com\/..<br \/>\n\u2981\u00a0<\/a><a href=\"https:\/\/www.redhat.com\/en\/topics\/api\">https:\/\/www.redhat.com\/en\/..<\/a><br \/>\n\u2981\u00a0<a href=\"https:\/\/community.f5.com\/t5\/technical-articles\/introduction-to-owasp-api-security-top-10-2023-rc\/ta-p\/312309\">https:\/\/community.f5.com\/t5\/..<\/a><br \/>\n\u2981\u00a0<a href=\"https:\/\/blog.postman.com\/owasp-api-security-top-10-2023-and-graphql\/\">https:\/\/blog.postman.com\/..<\/a><\/p>\n<\/div>\n<div><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Como desenvolvedores e\/ou respons\u00e1veis pela seguran\u00e7a de uma empresa, aplicativo, informa\u00e7\u00e3o e um longo etc., devemos ser capazes de definir o limite do certo e do errado ao construir e projetar suas arquiteturas. Muitas vezes acontece que no processo esquecemos de levar em conta os erros mais comuns cometidos por outros desenvolvedores ou, quando \u00e9 [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":5060,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_wpcom_ai_launchpad_first_post":false,"footnotes":"","jetpack_post_was_ever_published":false},"categories":[260],"tags":[],"class_list":["post-5140","post","type-post","status-publish","format-standard","has-post-thumbnail","category-technical-pt-br"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.9 (Yoast SEO v27.9) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Guia OWASP para APIs 2023 - BASE4 Security<\/title>\n<meta name=\"description\" content=\"BASE4 Security, consultora de ciberseguridad con presencia en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Servicios de CyberSOC, Red Team, GRC y Zero Trust.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/\" \/>\n<meta property=\"og:locale\" content=\"pt_BR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Guia OWASP para APIs 2023\" \/>\n<meta property=\"og:description\" content=\"An\u00e1lisis t\u00e9cnico y estrategia de ciberseguridad por el equipo de BASE4 Security. Insights sobre CyberSOC, Red Team, GRC y Zero Trust para LATAM y Espa\u00f1a.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/\" \/>\n<meta property=\"og:site_name\" content=\"BASE4 Security\" \/>\n<meta property=\"article:published_time\" content=\"2023-07-04T19:23:54+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-02-26T11:55:52+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_47.png\" \/>\n\t<meta property=\"og:image:width\" content=\"600\" \/>\n\t<meta property=\"og:image:height\" content=\"600\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Base4 Security Research\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"Base4 Security Research\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. tempo de leitura\" \/>\n\t<meta name=\"twitter:data2\" content=\"14 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/guia-de-owasp-para-apis-2023\\\/2023\\\/07\\\/04\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/guia-de-owasp-para-apis-2023\\\/2023\\\/07\\\/04\\\/\"},\"author\":{\"name\":\"Base4 Security Research\",\"@id\":\"\\\/#\\\/schema\\\/person\\\/5905e7398728c03dbec3772861bd4f99\"},\"headline\":\"Guia OWASP para APIs 2023\",\"datePublished\":\"2023-07-04T19:23:54+00:00\",\"dateModified\":\"2025-02-26T11:55:52+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/guia-de-owasp-para-apis-2023\\\/2023\\\/07\\\/04\\\/\"},\"wordCount\":2729,\"commentCount\":0,\"publisher\":{\"@id\":\"\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/guia-de-owasp-para-apis-2023\\\/2023\\\/07\\\/04\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/12\\\/blog_47.png\",\"articleSection\":[\"Technical\"],\"inLanguage\":\"pt-BR\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/guia-de-owasp-para-apis-2023\\\/2023\\\/07\\\/04\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/guia-de-owasp-para-apis-2023\\\/2023\\\/07\\\/04\\\/\",\"url\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/guia-de-owasp-para-apis-2023\\\/2023\\\/07\\\/04\\\/\",\"name\":\"Guia OWASP para APIs 2023 - BASE4 Security\",\"isPartOf\":{\"@id\":\"\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/guia-de-owasp-para-apis-2023\\\/2023\\\/07\\\/04\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/guia-de-owasp-para-apis-2023\\\/2023\\\/07\\\/04\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/12\\\/blog_47.png\",\"datePublished\":\"2023-07-04T19:23:54+00:00\",\"dateModified\":\"2025-02-26T11:55:52+00:00\",\"description\":\"BASE4 Security, consultora de ciberseguridad con presencia en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Servicios de CyberSOC, Red Team, GRC y Zero Trust.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/guia-de-owasp-para-apis-2023\\\/2023\\\/07\\\/04\\\/#breadcrumb\"},\"inLanguage\":\"pt-BR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/guia-de-owasp-para-apis-2023\\\/2023\\\/07\\\/04\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/guia-de-owasp-para-apis-2023\\\/2023\\\/07\\\/04\\\/#primaryimage\",\"url\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/12\\\/blog_47.png\",\"contentUrl\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/12\\\/blog_47.png\",\"width\":600,\"height\":600,\"caption\":\"POR: Mariano Quintana (Cybersecurity Researcher & Trainer)\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/guia-de-owasp-para-apis-2023\\\/2023\\\/07\\\/04\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Inicio\",\"item\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Guia OWASP para APIs 2023\"}]},{\"@type\":\"WebSite\",\"@id\":\"\\\/#website\",\"url\":\"\\\/\",\"name\":\"BASE4 Security\",\"description\":\"Your cyber ally\",\"publisher\":{\"@id\":\"\\\/#organization\"},\"alternateName\":\"B4\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"pt-BR\"},{\"@type\":\"Organization\",\"@id\":\"\\\/#organization\",\"name\":\"BASE4 Security\",\"url\":\"\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/10\\\/Logo_policromo_negativo.png\",\"contentUrl\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/10\\\/Logo_policromo_negativo.png\",\"width\":372,\"height\":227,\"caption\":\"BASE4 Security\"},\"image\":{\"@id\":\"\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/company\\\/base4-security\"],\"description\":\"BASE4 Security es una consultora de ciberseguridad B2B con prop\u00f3sito, fundada en Argentina y con operaciones en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Ofrece servicios de CyberSOC, Red Team, GRC, Identity Security, Cloud Security y Application Security para empresas en SOLA y NOLA.\",\"email\":\"info@base4sec.com\",\"telephone\":\"02262653623\",\"legalName\":\"BASE4 Security\",\"foundingDate\":\"2008-01-16\",\"numberOfEmployees\":{\"@type\":\"QuantitativeValue\",\"minValue\":\"51\",\"maxValue\":\"200\"}},{\"@type\":\"Person\",\"@id\":\"\\\/#\\\/schema\\\/person\\\/5905e7398728c03dbec3772861bd4f99\",\"name\":\"Base4 Security Research\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g\",\"caption\":\"Base4 Security Research\"},\"url\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/author\\\/cliteplo\\\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Guia OWASP para APIs 2023 - BASE4 Security","description":"BASE4 Security, consultora de ciberseguridad con presencia en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Servicios de CyberSOC, Red Team, GRC y Zero Trust.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/","og_locale":"pt_BR","og_type":"article","og_title":"Guia OWASP para APIs 2023","og_description":"An\u00e1lisis t\u00e9cnico y estrategia de ciberseguridad por el equipo de BASE4 Security. Insights sobre CyberSOC, Red Team, GRC y Zero Trust para LATAM y Espa\u00f1a.","og_url":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/","og_site_name":"BASE4 Security","article_published_time":"2023-07-04T19:23:54+00:00","article_modified_time":"2025-02-26T11:55:52+00:00","og_image":[{"width":600,"height":600,"url":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_47.png","type":"image\/png"}],"author":"Base4 Security Research","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"Base4 Security Research","Est. tempo de leitura":"14 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/#article","isPartOf":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/"},"author":{"name":"Base4 Security Research","@id":"\/#\/schema\/person\/5905e7398728c03dbec3772861bd4f99"},"headline":"Guia OWASP para APIs 2023","datePublished":"2023-07-04T19:23:54+00:00","dateModified":"2025-02-26T11:55:52+00:00","mainEntityOfPage":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/"},"wordCount":2729,"commentCount":0,"publisher":{"@id":"\/#organization"},"image":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/#primaryimage"},"thumbnailUrl":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_47.png","articleSection":["Technical"],"inLanguage":"pt-BR","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/","url":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/","name":"Guia OWASP para APIs 2023 - BASE4 Security","isPartOf":{"@id":"\/#website"},"primaryImageOfPage":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/#primaryimage"},"image":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/#primaryimage"},"thumbnailUrl":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_47.png","datePublished":"2023-07-04T19:23:54+00:00","dateModified":"2025-02-26T11:55:52+00:00","description":"BASE4 Security, consultora de ciberseguridad con presencia en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Servicios de CyberSOC, Red Team, GRC y Zero Trust.","breadcrumb":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/#breadcrumb"},"inLanguage":"pt-BR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/"]}]},{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/#primaryimage","url":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_47.png","contentUrl":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_47.png","width":600,"height":600,"caption":"POR: Mariano Quintana (Cybersecurity Researcher & Trainer)"},{"@type":"BreadcrumbList","@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/guia-de-owasp-para-apis-2023\/2023\/07\/04\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Inicio","item":"https:\/\/base4sec.com\/pt-br\/"},{"@type":"ListItem","position":2,"name":"Guia OWASP para APIs 2023"}]},{"@type":"WebSite","@id":"\/#website","url":"\/","name":"BASE4 Security","description":"Your cyber ally","publisher":{"@id":"\/#organization"},"alternateName":"B4","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"pt-BR"},{"@type":"Organization","@id":"\/#organization","name":"BASE4 Security","url":"\/","logo":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"\/#\/schema\/logo\/image\/","url":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/10\/Logo_policromo_negativo.png","contentUrl":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/10\/Logo_policromo_negativo.png","width":372,"height":227,"caption":"BASE4 Security"},"image":{"@id":"\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.linkedin.com\/company\/base4-security"],"description":"BASE4 Security es una consultora de ciberseguridad B2B con prop\u00f3sito, fundada en Argentina y con operaciones en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Ofrece servicios de CyberSOC, Red Team, GRC, Identity Security, Cloud Security y Application Security para empresas en SOLA y NOLA.","email":"info@base4sec.com","telephone":"02262653623","legalName":"BASE4 Security","foundingDate":"2008-01-16","numberOfEmployees":{"@type":"QuantitativeValue","minValue":"51","maxValue":"200"}},{"@type":"Person","@id":"\/#\/schema\/person\/5905e7398728c03dbec3772861bd4f99","name":"Base4 Security Research","image":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/secure.gravatar.com\/avatar\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g","caption":"Base4 Security Research"},"url":"https:\/\/base4sec.com\/pt-br\/author\/cliteplo\/"}]}},"jetpack_featured_media_url":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_47.png","_links":{"self":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/5140","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/comments?post=5140"}],"version-history":[{"count":3,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/5140\/revisions"}],"predecessor-version":[{"id":6261,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/5140\/revisions\/6261"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/media\/5060"}],"wp:attachment":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/media?parent=5140"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/categories?post=5140"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/tags?post=5140"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}