Os 5 erros de segurança que derrubam APIs em produção
Auditamos mais de 40 APIs em produção nos últimos 3 anos. Os mesmos 5 erros aparecem em 80% dos casos. Nenhum deles é sofisticado — todos são evitáveis com 30 minutos de revisão.
Segurança não falha por ataques sofisticados. Falha por descuido sistemático. Aqui estão os 5 erros que encontramos repetidamente.
1. Rate limiting ausente
APIs sem rate limiting são um convite para brute force em endpoints de autenticação e scraping massivo de dados. A solução custa 15 minutos com Redis + um middleware.
2. JWTs sem rotação
Tokens que nunca expiram ou não têm mecanismo de revogação transformam um vazamento pontual em comprometimento permanente. Implemente refresh tokens com blacklist no Redis.
3. Secrets em variáveis de ambiente sem rotação
Secrets estáticos que nunca rotacionam são bombas-relógio. Um ex-funcionário, um repositório acidentalmente público ou um log mal configurado expõe todo o sistema. Use um secrets manager com rotação automática.
4. SQL sem prepared statements
SQL injection está no OWASP Top 10 desde 2003. Em 2026 ainda encontramos queries concatenadas com input do usuário. Não tem desculpa: use ORMs ou prepared statements sempre.
5. CORS sem whitelist explícita
Access-Control-Allow-Origin: * em APIs que processam dados sensíveis é um erro clássico. Defina origens explícitas e nunca use wildcard em produção.