MVP Conf 2025 - OWASP API Security Top 10

Fala galera,

Tudo beleza?

Sexta-feira dia 24/10/2025 tive o prazer de ter participado do MVPConf 2025, onde tive a oportunidade de palestrar sobre o tema OWASP API Security Top 10: Recomendações importantes para tornar suas APIs mais seguras.

Durante o evento, abordei como as APIs REST se tornaram peças centrais em projetos de software — sejam mobile, web ou integrações de sistemas — e que, justamente por lidarem com dados e operações críticas, estão sujeitas a uma variedade de ataques, que vão desde falhas de autorização até consumo desenfreado de recursos.

Confira aqui a apresentação

• Apresentei os 10 principais vetores de risco definidos pela OWASP para APIs, com destaque para vulnerabilidades como:

  • Broken Object Level Authorization (BOLA) – acesso indevido a objetos.
  • Broken Authentication – falhas em autenticação e tokens.
  • Unrestricted Resource Consumption – consumo ilimitado de recursos (DoS).
  • Unrestricted Access to Sensitive Business Flows – exposição de fluxos de negócio sensíveis.
  • Além de outros riscos como SSRF, más configurações de segurança e versionamento inadequado.

• Trouxe recomendações práticas e aplicáveis no dia a dia das equipes de desenvolvimento:

  • Usar IDs aleatórios ou UUIDs para evitar inferência de recursos.
  • Implementar Rate Limiting e políticas de uso para prevenir abusos.
  • Praticar governança de versões de API, desativando endpoints obsoletos.
  • Garantir que parceiros e APIs externas também sigam boas práticas.

• Reforcei a importância de integrar segurança desde o design até o monitoramento, e não tratá-la como um “passo final” do ciclo de desenvolvimento.

Durante a sessão, tivemos uma excelente interação com o público — com perguntas sobre arquiteturas .NET, APIs em nuvem, microserviços e cenários reais de ataque — o que demonstrou o quanto o tema é atual e necessário.

Como profissional que atua com desenvolvimento, arquitetura e segurança, acredito que essa palestra reforça o compromisso de elevar o nível de maturidade da comunidade técnica.

Projetos bem-sucedidos não entregam apenas funcionalidades — entregam segurança, confiabilidade e confiança. Em um mundo onde dados são o ativo mais valioso, falhar na segurança das APIs pode comprometer todo o negócio.

O MVPConf foi o palco ideal para reforçar essa mensagem ao lado de tantos profissionais incríveis, MVPs e líderes de tecnologia que também acreditam em compartilhar conhecimento.

No encerramento da palestra, destaquei a importância de fortalecer a cultura de API Security (falando dos cursos da APISec University) dentro das equipes, lembrando que a proteção das APIs é um investimento essencial para a confiança e continuidade dos sistemas modernos.

Agradeço ao time do MVPConf pela organização impecável, aos colegas palestrantes pelo alto nível técnico e, principalmente, ao público que participou e compartilhou suas experiências.

Esse tipo de troca é o que nos faz crescer como comunidade!

Obrigado a todas as 36 pessoas que apareceram na minha palestra!

Aquele abraço!