SEGURANÇA CIBERNÉTICA - Avaliação Digital AVD

Prévia do material em texto

Aluno(a): Matrícula: 
Acertos: 8,8 de 10,0 (Finaliz.) Data: 11/11/2021 13:56:09 
 
 
1 
 Questão 
Pontos: 0,00 / 1,25 
 
O alvo do ataque de desserialização insegura são aplicações da web que serializam e 
desserializam dados. Serialização é uma forma de transformar objetos (estrutura de dados) de 
uma aplicação e convertê-los em um formato que pode ser usado para armazenar os dados, ou 
fazer streaming. A desserialização é o processo contrário: Os dados serializados são 
convertidos em objetos que podem ser usados pelas aplicações. Um ataque de desserialização 
insegura ocorre no processo de desserialização, ou seja, antes que os dados sejam 
transformados em objetos e possam ser usados pelos aplicativos. Esse tipo de ataque é o 
resultado da desserialização de dados de fontes não confiáveis. As consequências podem ser 
ataques de negação de serviço (DDoS) e de execução remota de código. Entre as medidas que 
podem evitar esse tipo de ataque estão: Monitoramento da desserialização, verificações de tipos 
e proibição de desserialização de dados de fontes não confiáveis. 
Para evitar desserializações inseguras, a recomendação é não aceitar objetos serializados de 
fontes não confiáveis. Além disso, a OWASP também dá a seguinte recomendação (INSECURE 
DESERIALIZATION, 2020): 
 
 
Não impor restrições de tipo durante a desserialização dos dados antes da criação do 
objeto, pois a aplicação foi desenvolvida para receber um conjunto de dados com tipos 
pré-definidos; 
 
Monitorar o comportamento de usuários que raramente fazem desserialização; 
 Restringir a conectividade de rede, somente de entrada de servidores que 
desserializam; 
 Com o objetivo de impedir a criação de objetos com riscos de segurança, ou a violação 
de dados, deve-se implementar verificações de integridade, como assinaturas digitais 
em qualquer objeto serializado; 
 
Sempre que possível, executar código que desserializa dados em ambientes de alto 
privilégio; 
 
 
2 
 Questão 
Pontos: 1,25 / 1,25 
 
Aplicações web são o principal alvo de ataques de Agentes Maliciosos (hackers ilegais e 
crackers), devido à possibilidade de alcance rápido de altos ganhos, e ao baixo risco de 
exposição do criminoso. 
Dados de cartões de crédito, informações de clientes e de operações da empresa, roubos de 
identidades e outros dados sigilosos, informações sobre a infraestrutura de dados e vários 
outros podem ser usados para compor cenários de ataques com alto impacto. 
Segundo o Instituto Gartner (2009), mais de 75% dos problemas com segurança na internet são 
devidos a falhas exploráveis a partir das aplicações web. 
A maior parte das páginas web são naturalmente vulneráveis devido às tecnologias adotadas 
em sua concepção, à forma como são desenhadas e desenvolvidas, e ao uso de vários objetos 
e recursos, além da integração de outros sistemas, na medida em que são priorizados os 
aspectos funcionais que atendem a área de negócios, enquanto os requisitos de segurança 
ficam em segundo plano. 
Disponível em: < https://www.redesegura.com.br/clientes-e-parceiros/o-risco-de-ataques-pela-
web/>. Acesso em: 01 set. 2021. 
Aplicações WEB desenvolvidas sem preocupação com certos critérios de segurança, podem 
apresentar em seu código, diversos problemas e falhas de segurança, e podem em certos casos 
expor informações até mesmo sobre suas próprias configurações, sobre os processos internos 
da própria aplicação ou mesmo permitir que a privacidade possa ser violada, sem que 
necessariamente precise haver qualquer intenção. Pessoas mal intencionadas como os 
Crackers, por exemplo, podem fazer uso desta fragilidade para conseguir informações sensíveis 
ou até mesmo planejar ataques mais direcionados e bem elaborados. Esse tipo de 
vulnerabilidade é classificado pela OWASP como sendo 
 
 Uma falha de injeção SQL 
 Uma falha de Vazamento de Informações e Tratamento de Erros Inapropriado 
 Uma falha de Cross Site Scripting (XSS) 
 Uma falha de Falha de Restrição de Acesso à URL 
 Uma falha de Referência Insegura Direta a Objetos 
 
 
3 
 Questão 
Pontos: 1,25 / 1,25 
 
Qual a consequência do uso de softwares cujo ciclo de vida terminou? 
 
 
Significa que existe uma boa gestão de recursos computacionais na empresa 
 Exposição a vulnerabilidades, pois o fabricante não é mais obrigado a corrigi-las 
 
Lentidão de acesso 
 
Pode acarretar apenas danos à imagem de empresa, que será vista como 
ultrapassada 
 
Economia de recursos 
 
 
4 
 Questão 
Pontos: 1,25 / 1,25 
 
Ataques na internet são as tentativas de criminosos cibernéticos de destruir, danificar 
ou tornar indisponível uma rede de sistemas. Tais infrações podem fazer com que dados 
sigilosos sejam roubados ou expostos, causando a extorsão e exposição de informações 
confidenciais armazenadas. 
Estes ataques geralmente ocorrem com diversos objetivos, visando diferentes alvos e 
usando variadas técnicas. Qualquer serviço, computador ou rede acessível pela Internet 
pode ser alvo de um ataque, da mesma forma que também qualquer computador com 
acesso à Internet pode participar de um ataque. Existem muitas razões para os 
criminosos lançarem ataques na Internet, desde simples entretenimento a atividades 
ilegais. Suas motivações geralmente estão relacionadas à exibição de poder, prestígio, 
finanças, ideologia e motivações empresariais. 
Disponível em: < https://wcsconectologia.com.br/blog/ataques-ciberneticos-o-que-sao-
e-como-se-proteger/>. Acesso em: 01 set. 2021. 
Existem aplicações WEB onde, credenciais utilizadas para realização de acessos, ou 
mesmo tokens de sessão não possuem proteção adequada, ou não possuem critérios de 
proteção analisados com uma frequência adequada. Com isso os Crackers, script kiddies 
entre outros atacantes, podem comprometer as senhas, chaves, tokens ou outros 
mecanismos de autenticação, dessa forma podem a assumir a identidade de usuários 
legítimos e comprometer algum dos pilares da segurança da informação. Os ataques 
que fazem uso dessa falha são classificados pela OWASP como sendo: 
 
 
Um ataque de Referência Insegura Direta a Objetos. 
 
Um ataque de execução maliciosa de arquivos. 
 Um ataque de Autenticação falha e Gerenciamento de Sessão. 
 
Um ataque de Cross Site Request Forgery (CSRF). 
 
Um ataque de Cross Site Scripting (XSS). 
 
 
5 
 Questão 
Pontos: 1,25 / 1,25 
 
A quebra de autenticação pode permitir que um invasor obtenha o controle parcial, ou mesmo 
completo, sobre o sistema da vítima. Ela está relacionada a problemas no mecanismo de 
autenticação da aplicação, como, por exemplo, um gerenciamento de sessões malfeito em que 
é possível fazer a enumeração de nomes de usuários até encontrar nomes válidos através do 
uso de técnicas de força bruta. As recomendações técnicas da OWASP para evitar essa 
vulnerabilidade são (BROKEN AUTHENTICATION, 2020): 
I. Usar a autenticação multifator; 
II. O acesso padrão aos recursos deve ser restrito; 
III. Não disponibilizar a aplicação com credenciais pré-definidas; 
IV. Seguir as recomendações do guia NIST 800-63 B na secção 5.1.1 (GRASSI et al, 
2017); 
V. Implementar mecanismos de controle de acesso uma única vez e reutilizá-los ao longo 
da aplicação; 
Marque a opção que apresenta as afirmações corretas. 
 
 I, III e IV 
 
II, III e IV 
 
I, II e III 
 
II e V 
 
I, IV e V 
 
 
6 
 Questão 
Pontos: 1,25 / 1,25 
 
O objetivo principal do OWASP TOP 10 é educar desenvolvedores, designers, arquitetos e 
organizações a respeito das conseqüências das vulnerabilidades mais comuns encontradas em 
aplicações WEB. O TOP 10 provê métodos básicos para se proteger dessas vulnerabilidades 
- um ótimo começo para a codificação segura de um programa de segurança. 
 Disponível em: < https://owasp.org/www-pdf-archive/OWASP_TOP_10_2007_PT-
BR.pdf>. Acesso em: 01 set. 2021. 
Aplicações WEB desenvolvidas sem preocupação com certos critériosde segurança, podem 
apresentar em seu código, uma ou várias referências a certos tipos de conteúdos que, em 
principio deveriam ser protegidos, essa falha pode ocorrer caso os desenvolvedores dessas 
aplicações, deixem expostas algum tipo de referência a conteúdos implementados 
internamente, como por exemplo: Arquivos, diretórios ou até mesmo registros de base de dados 
entre outros, que a principio não deveria ser acessado sem as devidas permissões. Comumente 
essas referências podem estar expostas na forma de uma URL ou algum parâmetro de 
formulários presentes na aplicação. Essa falha pode auxiliar os Crackers a estarem manipulando 
estas referências, dessa forma podem ganhar acesso outros conteúdos sem autorização. Esse 
tipo de vulnerabilidade é classificado pela OWASP como sendo 
 
 
Uma falha de Vazamento de Informações e Tratamento de Erros Inapropriado. 
 Uma falha de Referência Insegura Direta a Objetos. 
 
Uma falha de injeção SQL. 
 
Uma falha de Falha de Restrição de Acesso à URL. 
 
Uma falha de Cross Site Scripting (XSS). 
 
 
7 
 Questão 
Pontos: 1,25 / 1,25 
 
Os ataques que exploram a vulnerabilidade de quebra de controle de acesso restringem 
a quantidade de seções ou páginas que os visitantes podem acessar. O controle de 
acesso é uma segmentação de responsabilidades em que administradores e os demais 
usuários devem ter direitos distintos sobre as funcionalidades e dados dos sistemas. No 
entanto, muitos sistemas não trabalham dessa forma, como, por exemplo, alguns dos 
principais sistemas de gerenciamento de conteúdo (JERKOVIC; SINKOVIC, 2017). 
Alguns exemplos que precisam de controle para acessar são: 
1. Servidores via FTP/SFTP/SSH; 
2. Painel administrativo de um site; 
3. Aplicativos do servidor; 
4. Sites de Navegação; 
5. Bancos de dados; 
Marque a alternativa abaixo que contém todos os exemplos, da lista acima, que 
precisam de controle: 
 
 
II, III, IV e V 
 
I, III, IV e V 
 I, II, III e V 
 
II, IV e V 
 
I, II e III 
 
 
8 
 Questão 
Pontos: 1,25 / 1,25 
 
Risco de segurança ocorre sempre que uma aplicação inclui dados não-confiáveis numa nova 
página web sem a validação ou filtragem apropriadas, ou quando atualiza uma página web 
existente com dados enviados por um utilizador através de uma API do browser que possa criar 
JavaScript. O XSS permite que atacantes possam executar scripts no browser da vítima, os 
quais podem raptar sessões do utilizador, descaracterizar sites web ou redirecionar o utilizador 
para sites maliciosos (Adaptado OWASP Top 2017) é conhecido como: 
 
 
Utilização de Componentes Vulneráveis. 
 Cross-Site Scripting (XSS). 
 
Registro e Monitorização Insuficiente. 
 
Configurações de Segurança da Informação. 
 
Desserialização Insegura.