Análise de Segurança em Aplicações Next.js: Um Estudo de Caso Baseado nas Diretrizes da OWASP Top 10

Abstract

A crescente digitalização dos serviços e a manipulação de dados sensíveis em plataformas online tornaram a segurança de aplicações Web uma prioridade crítica. Contudo, a rápida adoção de frameworks de renderização híbrida, como o Next.js, introduziu uma nova superfície de ataque ao deslocar a lógica de execução do cliente para o servidor (SSR), criando uma lacuna na literatura acadêmica que predominantemente foca em arquiteturas legadas ou Client-Side puras. Este trabalho apresenta uma análise de segurança da plataforma de agendamento open-source Cal.com, desenvolvida com o framework moderno Next.js. O objetivo principal foi identificar vulnerabilidades de segurança utilizando a metodologia de testes de caixa-preta e a ferramenta automatizada OWASP ZAP (Zed Attack Proxy), tendo como referencial as categorias de risco estabelecidas no OWASP Top 10: 2025 Release Candidate. Os testes foram conduzidos em um ambiente controlado utilizando contêineres Docker. A varredura revelou um total de 277 alertas de segurança, incluindo uma vulnerabilidade de risco alto (Include Server Side - ISS) e quinze de risco médio, relacionadas principalmente a falhas de configuração de segurança e proteção insuficiente de dados. A análise demonstrou que, apesar das proteções nativas oferecidas pelo Next.js, como Server-Side Rendering (SSR) e Middleware, a implementação padrão e a integração com APIs externas ainda podem expor a aplicação a riscos significativos se não forem devidamente configuradas. Este estudo contribui para a área de segurança de software ao validar a aplicabilidade das novas diretrizes da OWASP em arquiteturas modernas e fornecer recomendações práticas de mitigação, como a implementação de Content Security Policy (CSP) e a sanitização de entradas, servindo como referência para desenvolvedores e auditores de segurança.