Buscar

AVD SEGURANÇA CIBERNÉTICA ESTACIO - PROVA 2021-2

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 3, do total de 4 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Prévia do material em texto

1,25 pts. 
1. 
 
 
O alvo do ataque de desserialização insegura são aplicações da web que serializam e 
desserializam dados. Serialização é uma forma de transformar objetos (estrutura de dados) de 
uma aplicação e convertê-los em um formato que pode ser usado para armazenar os dados, 
ou fazer streaming. A desserialização é o processo contrário: Os dados serializados são 
convertidos em objetos que podem ser usados pelas aplicações. Um ataque de desserialização 
insegura ocorre no processo de desserialização, ou seja, antes que os dados sejam 
transformados em objetos e possam ser usados pelos aplicativos. Esse tipo de ataque é o 
resultado da desserialização de dados de fontes não confiáveis. As consequências podem ser 
ataques de negação de serviço (DDoS) e de execução remota de código. Entre as medidas 
que podem evitar esse tipo de ataque estão: Monitoramento da desserialização, verificações 
de tipos e proibição de desserialização de dados de fontes não confiáveis. 
Para evitar desserializações inseguras, a recomendação é não aceitar objetos serializados de 
fontes não confiáveis. Além disso, a OWASP também dá a seguinte recomendação 
(INSECURE DESERIALIZATION, 2020): 
 
 
 
Monitorar o comportamento de usuários que raramente fazem 
desserialização; 
 
Sempre que possível, executar código que desserializa dados em 
ambientes de alto privilégio; 
 
Com o objetivo de impedir a criação de objetos com riscos de segurança, 
ou a violação de dados, deve-se implementar verificações de integridade, 
como assinaturas digitais em qualquer objeto serializado; 
 
Não impor restrições de tipo durante a desserialização dos dados antes 
da criação do objeto, pois a aplicação foi desenvolvida para receber um 
conjunto de dados com tipos pré-definidos; 
 
Restringir a conectividade de rede, somente de entrada de servidores 
que desserializam; 
 
 
 
1,25 pts. 
2. 
 
 
Aplicações web são o principal alvo de ataques de Agentes Maliciosos (hackers ilegais e 
crackers), devido à possibilidade de alcance rápido de altos ganhos, e ao baixo risco de 
exposição do criminoso. 
Dados de cartões de crédito, informações de clientes e de operações da empresa, roubos de 
identidades e outros dados sigilosos, informações sobre a infraestrutura de dados e vários 
outros podem ser usados para compor cenários de ataques com alto impacto. 
Segundo o Instituto Gartner (2009), mais de 75% dos problemas com segurança na internet 
são devidos a falhas exploráveis a partir das aplicações web. 
A maior parte das páginas web são naturalmente vulneráveis devido às tecnologias adotadas 
em sua concepção, à forma como são desenhadas e desenvolvidas, e ao uso de vários objetos 
e recursos, além da integração de outros sistemas, na medida em que são priorizados os 
aspectos funcionais que atendem a área de negócios, enquanto os requisitos de segurança 
ficam em segundo plano. 
Disponível em: < https://www.redesegura.com.br/clientes-e-parceiros/o-risco-de-ataques-
pela-web/>. Acesso em: 01 set. 2021. 
Aplicações WEB desenvolvidas sem preocupação com certos critérios de segurança, podem 
apresentar em seu código, diversos problemas e falhas de segurança, e podem em certos 
casos expor informações até mesmo sobre suas próprias configurações, sobre os processos 
internos da própria aplicação ou mesmo permitir que a privacidade possa ser violada, sem que 
necessariamente precise haver qualquer intenção. Pessoas mal intencionadas como os 
Crackers, por exemplo, podem fazer uso desta fragilidade para conseguir informações 
sensíveis ou até mesmo planejar ataques mais direcionados e bem elaborados. Esse tipo de 
vulnerabilidade é classificado pela OWASP como sendo 
 
 
 
Uma falha de Vazamento de Informações e Tratamento de Erros 
Inapropriado 
 
javascript:alert('Quest%C3%A3o%20com%20o%20c%C3%B3digo%20de%20refer%C3%AAncia%20202015588648.')
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%206049199/n/nStatus%20da%20quest%C3%A3o:%20Liberada%20para%20Uso.');
javascript:alert('Quest%C3%A3o%20com%20o%20c%C3%B3digo%20de%20refer%C3%AAncia%20202015591411.')
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%206051962/n/nStatus%20da%20quest%C3%A3o:%20Liberada%20para%20Uso.');
 Uma falha de injeção SQL 
 Uma falha de Cross Site Scripting (XSS) 
 Uma falha de Referência Insegura Direta a Objetos 
 Uma falha de Falha de Restrição de Acesso à URL 
 
 
1,25 pts. 
3. 
 
 
Qual a consequência do uso de softwares cujo ciclo de vida terminou? 
 
 
 
Economia de recursos 
 
Lentidão de acesso 
 
Pode acarretar apenas danos à imagem de empresa, que será 
vista como ultrapassada 
 
Significa que existe uma boa gestão de recursos computacionais 
na empresa 
 
Exposição a vulnerabilidades, pois o fabricante não é mais 
obrigado a corrigi-las 
 
 
 
1,25 pts. 
4. 
 
 
Ataques na internet são as tentativas de criminosos cibernéticos de destruir, danificar 
ou tornar indisponível uma rede de sistemas. Tais infrações podem fazer com que 
dados sigilosos sejam roubados ou expostos, causando a extorsão e exposição de 
informações confidenciais armazenadas. 
Estes ataques geralmente ocorrem com diversos objetivos, visando diferentes alvos e 
usando variadas técnicas. Qualquer serviço, computador ou rede acessível pela 
Internet pode ser alvo de um ataque, da mesma forma que também qualquer 
computador com acesso à Internet pode participar de um ataque. Existem muitas 
razões para os criminosos lançarem ataques na Internet, desde simples 
entretenimento a atividades ilegais. Suas motivações geralmente estão relacionadas à 
exibição de poder, prestígio, finanças, ideologia e motivações empresariais. 
Disponível em: < https://wcsconectologia.com.br/blog/ataques-ciberneticos-o-que-
sao-e-como-se-proteger/>. Acesso em: 01 set. 2021. 
Existem aplicações WEB onde, credenciais utilizadas para realização de acessos, ou 
mesmo tokens de sessão não possuem proteção adequada, ou não possuem critérios 
de proteção analisados com uma frequência adequada. Com isso os Crackers, script 
kiddies entre outros atacantes, podem comprometer as senhas, chaves, tokens ou 
outros mecanismos de autenticação, dessa forma podem a assumir a identidade de 
usuários legítimos e comprometer algum dos pilares da segurança da informação. Os 
ataques que fazem uso dessa falha são classificados pela OWASP como sendo: 
 
 
 
Um ataque de Cross Site Scripting (XSS). 
 
Um ataque de Cross Site Request Forgery (CSRF). 
 
Um ataque de Autenticação falha e Gerenciamento de Sessão. 
 
Um ataque de execução maliciosa de arquivos. 
 
Um ataque de Referência Insegura Direta a Objetos. 
 
 
 
1,25 pts. 
5. 
 
A quebra de autenticação pode permitir que um invasor obtenha o controle parcial, ou mesmo 
completo, sobre o sistema da vítima. Ela está relacionada a problemas no mecanismo de 
autenticação da aplicação, como, por exemplo, um gerenciamento de sessões malfeito em que 
é possível fazer a enumeração de nomes de usuários até encontrar nomes válidos através do 
uso de técnicas de força bruta. As recomendações técnicas da OWASP para evitar essa 
vulnerabilidade são (BROKEN AUTHENTICATION, 2020): 
I. Usar a autenticação multifator; 
II. O acesso padrão aos recursos deve ser restrito; 
III. Não disponibilizar a aplicação com credenciais pré-definidas; 
javascript:alert('Quest%C3%A3o%20com%20o%20c%C3%B3digo%20de%20refer%C3%AAncia%20202015591519.')
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%206052070/n/nStatus%20da%20quest%C3%A3o:%20Liberada%20para%20Uso.');
javascript:alert('Quest%C3%A3o%20com%20o%20c%C3%B3digo%20de%20refer%C3%AAncia%20202015591219.')
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%206051770/n/nStatus%20da%20quest%C3%A3o:%20Liberada%20para%20Uso.');
javascript:alert('Quest%C3%A3o%20com%20o%20c%C3%B3digo%20de%20refer%C3%AAncia%20202015588743.')
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%206049294/n/nStatus%20da%20quest%C3%A3o:%20Liberada%20para%20Uso.');
 
IV. Seguir as recomendaçõesdo guia NIST 800-63 B na secção 5.1.1 (GRASSI et al, 
2017); 
V. Implementar mecanismos de controle de acesso uma única vez e reutilizá-los ao 
longo da aplicação; 
Marque a opção que apresenta as afirmações corretas. 
 
 
 
I, III e IV 
 
I, II e III 
 
II e V 
 
I, IV e V 
 
II, III e IV 
 
 
 
1,25 pts. 
6. 
 
 
O objetivo principal do OWASP TOP 10 é educar desenvolvedores, designers, arquitetos e 
organizações a respeito das conseqüências das vulnerabilidades mais comuns encontradas 
em aplicações WEB. O TOP 10 provê métodos básicos para se proteger dessas 
vulnerabilidades - um ótimo começo para a codificação segura de um programa de segurança. 
 Disponível em: < https://owasp.org/www-pdf-
archive/OWASP_TOP_10_2007_PT-BR.pdf>. Acesso em: 01 set. 2021. 
Aplicações WEB desenvolvidas sem preocupação com certos critérios de segurança, podem 
apresentar em seu código, uma ou várias referências a certos tipos de conteúdos que, em 
principio deveriam ser protegidos, essa falha pode ocorrer caso os desenvolvedores dessas 
aplicações, deixem expostas algum tipo de referência a conteúdos implementados 
internamente, como por exemplo: Arquivos, diretórios ou até mesmo registros de base de 
dados entre outros, que a principio não deveria ser acessado sem as devidas permissões. 
Comumente essas referências podem estar expostas na forma de uma URL ou algum 
parâmetro de formulários presentes na aplicação. Essa falha pode auxiliar os Crackers a 
estarem manipulando estas referências, dessa forma podem ganhar acesso outros conteúdos 
sem autorização. Esse tipo de vulnerabilidade é classificado pela OWASP como sendo 
 
 
 
Uma falha de Vazamento de Informações e Tratamento de Erros 
Inapropriado. 
 
Uma falha de Falha de Restrição de Acesso à URL. 
 
Uma falha de Cross Site Scripting (XSS). 
 
Uma falha de injeção SQL. 
 
Uma falha de Referência Insegura Direta a Objetos. 
 
 
 
1,25 pts. 
7. 
 
 
Risco de segurança ocorre sempre que uma aplicação inclui dados não-confiáveis numa nova 
página web sem a validação ou filtragem apropriadas, ou quando atualiza uma página web 
existente com dados enviados por um utilizador através de uma API do browser que possa 
criar JavaScript. O XSS permite que atacantes possam executar scripts no browser da vítima, 
os quais podem raptar sessões do utilizador, descaracterizar sites web ou redirecionar o 
utilizador para sites maliciosos (Adaptado OWASP Top 2017) é conhecido como: 
 
 
 
Registro e Monitorização Insuficiente. 
 
Cross-Site Scripting (XSS). 
 
Configurações de Segurança da Informação. 
 
Desserialização Insegura. 
 
Utilização de Componentes Vulneráveis. 
 
 
 
1,25 pts. 
8. 
 
Os ataques que exploram a vulnerabilidade de quebra de controle de acesso 
restringem a quantidade de seções ou páginas que os visitantes podem acessar. O 
controle de acesso é uma segmentação de responsabilidades em que administradores 
e os demais usuários devem ter direitos distintos sobre as funcionalidades e dados dos 
javascript:alert('Quest%C3%A3o%20com%20o%20c%C3%B3digo%20de%20refer%C3%AAncia%20202015591799.')
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%206052350/n/nStatus%20da%20quest%C3%A3o:%20Liberada%20para%20Uso.');
javascript:alert('Quest%C3%A3o%20com%20o%20c%C3%B3digo%20de%20refer%C3%AAncia%20202015588798.')
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%206049349/n/nStatus%20da%20quest%C3%A3o:%20Liberada%20para%20Uso.');
javascript:alert('Quest%C3%A3o%20com%20o%20c%C3%B3digo%20de%20refer%C3%AAncia%20202015588746.')
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%206049297/n/nStatus%20da%20quest%C3%A3o:%20Liberada%20para%20Uso.');
 
sistemas. No entanto, muitos sistemas não trabalham dessa forma, como, por 
exemplo, alguns dos principais sistemas de gerenciamento de conteúdo (JERKOVIC; 
SINKOVIC, 2017). Alguns exemplos que precisam de controle para acessar são: 
1. Servidores via FTP/SFTP/SSH; 
2. Painel administrativo de um site; 
3. Aplicativos do servidor; 
4. Sites de Navegação; 
5. Bancos de dados; 
Marque a alternativa abaixo que contém todos os exemplos, da lista acima, que 
precisam de controle: 
 
 
 
II, IV e V 
 
I, II e III 
 
II, III, IV e V 
 
I, III, IV e V 
 
I, II, III e V

Outros materiais

Materiais relacionados

Perguntas relacionadas

Perguntas Recentes