Baixe o app para aproveitar ainda mais
Prévia do material em texto
AS Geral Entrega Sem prazo Pontos 10 Perguntas 20 Disponível 20 abr em 0:00 - 30 abr em 23:59 11 dias Limite de tempo Nenhum Tentativas permitidas 3 Histórico de tentativas Tentativa Tempo Pontuação MAIS RECENTE Tentativa 1 102 minutos 6,5 de 10 As respostas corretas estão ocultas. Pontuação desta tentativa: 6,5 de 10 Enviado 20 abr em 11:31 Esta tentativa levou 102 minutos. Fazer o teste novamente 0 / 0,5 ptsPergunta 1IncorretaIncorreta No dispositivo Web cliente, a aplicação navegador (browser) não possui liberdade de organização das informações como no dispositivo Web servidor. Isso, porque no lado servidor o programador pode escolher diferentes locais para armazenamento e apontamento dos conteúdos Web publicados. Essa capacidade é reduzida no lado cliente devido a uma organização padrão de objetos, chamada de: Windows Explorer. Programming Interface (API). Regras WWW. Access List (ACL). Document Object Model (DOM). DOM é a implementação que organiza conteúdos HTML e Extensible Markup Language (XML) em tags específicas para exibição na aplicação Web cliente. 0,5 / 0,5 ptsPergunta 2 Ataques que exploram uma fragilidade do protocolo HTTP - que utiliza o three-way-handshake TCP, para estabelecimento de conexões entre cliente e servidor - enviam somente parte do conjunto de mensagens ao servidor. Como resultado, o servidor recebe o pedido do serviço, envia a mensagem ao solicitante dizendo que já reservou seus recursos computacionais para a oferta do serviço, mas ao não https://cruzeirodosul.instructure.com/courses/23890/quizzes/61430/history?version=1 https://cruzeirodosul.instructure.com/courses/23890/quizzes/61430/take?user_id=203693 receber a finalização de mensagem mantém o mesmo ativo e pronto, mesmo sem uso. Após receber uma grande sequência dessas mensagens sem finalização, o servidor pode reservar tanto recurso sem uso que entra em um estado que chamamos de “congelado”. Esse cenário descreve um ataque conhecido como: DOS. XML. SOX. MOX. TTL. Ataques do tipo negação de serviço, do Inglês “denial of service (DOS), geram indisponibilidade do servidor Web por meio de solicitações de serviços sucessivas e não completadas, de modo a ocasionar exaustão da capacidade do servidor em responder ao serviço Web. 0 / 0,5 ptsPergunta 3IncorretaIncorreta A infraestrutura Web é complexa, composta de diversos elementos de rede que dão suporte ao seu funcionamento. Dois elementos se destacam nessa infraestrutura, um provendo e o outro consumindo serviços Web. Do ponto de vista da linguagem de programação, qual alternativa descreve esses dois elementos? HTTP e HTTPS. Thin-client e Thick-client. Client-side e Server-side. DNS e TCP. HTML e JavaScript. Do ponto de vista de linguagem de programação, divergem aquelas criadas para serem executadas no cliente (browser), chamadas cliente-side script daquelas criadas para serem executadas pelo servidor, chamadas de server-side script. Exemplos de parte a parte são JavaScript (cliente-side) e PHP (server-side). 0 / 0,5 ptsPergunta 4IncorretaIncorreta Herdada do campo de estudo chamado engenharia de software, o modelo MVC (Model-View- Controller) vem sendo incorporado à infraestrutura Web, tornando-se especialmente útil, na medida em que os dispositivos Web clientes começaram a se diferir consideravelmente entre si em termos de capacidade computacional, recursos de interface, etc. Qual camada do modelo oferece formas de interação para que o cliente comunique-se de forma específica, de acordo com suas capacidades, para que ao receber a resposta da solicitação do serviço Web, esta seja adequada às suas especificidades? Visão. Alterador. Controlador. Enunciador Modelo. Ao interagir com a camada controlador, o dispositivo pode efetuar solicitações específicas, delimitando um comportamento particular do modelo e, como consequência, recebendo um tipo adequado de apresentação do conteúdo, provida pela camada de visão. 0,5 / 0,5 ptsPergunta 5 Servidores Web devem ser especialmente protegidos, pois ficam expostos à conexões da rede externa (Internet). Por isso, dizemos que é uma boa prática, como parte de um processo de hardening, desativar serviços não utilizados neste servidor, mantendo apenas aqueles essenciais ao papel Web e, portanto, diminuindo o risco daquele ativo. Chamamos esse tipo de servidor de: Server-side. Bastion host. TCP. Router. Black hat. Chamamos de bastion host aquele(s) servidor(es) que receberam hardening (processo de retirada de serviços não utilizados, auditoria constante, atualizações de segurança, etc.) para suportar os riscos de exposição daquele ativo ao ambiente DMZ ou conexão direta à Internet. 0 / 0,5 ptsPergunta 6IncorretaIncorreta Ataques que exploram uma fragilidade do protocolo HTTP, que utiliza o three-way-handshake TCP, para estabelecimento de conexões entre cliente e servidor, enviam somente parte do conjunto de mensagens ao servidor. Como resultado, o servidor recebe o pedido do serviço, envia a mensagem ao solicitante dizendo que já reservou seus recursos computacionais para a oferta do serviço, mas, ao não receber a finalização de mensagem, mantém o mesmo ativo e pronto, mesmo sem uso. Após receber uma grande sequência dessas mensagens sem finalização, o servidor pode reservar tanto recurso sem uso que entra em um estado que chamamos de “congelado”. Esse cenário descreve um ataque conhecido como: TTL MOX XML SOX DOS Ataques do tipo negação de serviço, do inglês denial of servisse (DOS), geram indisponibilidade do servidor Web por meio de solicitações de serviços sucessivas e não completadas, de modo a ocasionar exaustão da capacidade do servidor em responder ao serviço Web. 0,5 / 0,5 ptsPergunta 7 Os ataques desse tipo/categoria representam uma importante fatia dos ataques e encontra-se atualmente no topo do ranking dos ataques mapeados pela OWASP. A qual categoria essa afirmação se refere? Buffer overflow DOS Injeção de código HTTP Backdoor Ataques de injeção de código, como, por exemplo, o SQL injection, encontram-se no topo da lista de ameaças em aplicações Web publicadas pela OWASP. 0,5 / 0,5 ptsPergunta 8 Esta categoria de ataque se encaixa no perfil de ataque interceptação. Classificamos este tipo de ataque como do tipo passivo, sendo de difícil detecção. Chamamos de passivo pois o atacante apenas observa os pacotes e coleta informações de seu interesse. Estamos nos referindo a que ataque? Sniffing Cross-site scripting (XSS) SQL Injection Denial of service (DOS) Access List (ACL) Sniffing são ataques que utilizam ferramentas para observar o trânsito de pacotes na rede. São de difícil detecção pois não causam “perturbação” na comunicação existente. 0,5 / 0,5 ptsPergunta 9 Como sabemos, a aplicação de controles é um dos principais trabalhos do gestor de segurança depois de conhecer o modelo de ameaça (TM) quando se está mapeando as ameaças potenciais nas aplicações Web. Existe uma enorme quantidade de vulnerabilidades já mapeadas que podem ser pesquisadas, uma vez mapeado o TM, para orientar-nos quanto ao controle/mitigação apropriada. Chamamos essa base de conhecimento de: TM CVE DOCKER CMM CIA Common Vulnerabilities and Exposures (CVE) é o nome dado à base de dados contendo vulnerabilidades conhecidas, que é usada para obter informações de contorno/controle/mitigação para uma ameaça.0,5 / 0,5 ptsPergunta 10 A habilidade desse programa de conseguir obter credenciais válidas depende de seu recurso de dicionário (combinações de senhas conhecidas) e da capacidade de tentativas sem ser bloqueado. Estamos falando de que ataque? Server descriptor MOU-MOC TOC-TOU Pasword cracking Bastion Host Password cracker. Essa categoria de ataque implementa formas de burlar controles de acesso baseados em senha, que utilizam Password authentication protocol (PAP). 0 / 0,5 ptsPergunta 11IncorretaIncorreta Observando a conceituação que vimos na unidade anterior, que separava camadas de front-end e back-end para os aplicativos e dispositivos Web do lado servidor, e considerando os protocolos SSL/TLS para implementação de canal seguro vistos nesta unidade, é correto afirmar que: Aplica-se exclusivamente ao back-end SSL/TLS dependem da validação do browser do usuário, portanto, sua implementação é feita no navegador; Aplica-se exclusivamente ao front-end SSL/TLS funcionam baseados em certificados revogados, portanto, sua implementação é feita no servidor Web. Ambos Certificados digitais para a implementação de SSL/TLS e formação de canal seguro de comunicação podem ser implementados tanto na comunicação do browser do usuário com o servidor Web, quanto deste último com outros servidores internos da infraestrutura (back-end), oferecendo, nessa versão mais completa, uma proteção mais efetiva contra ataques visando observar a rede. 0,5 / 0,5 ptsPergunta 12 Uma vez carregados pelo browser, os elementos DOM podem ser invocados a partir de um nó raiz (root). Das opções abaixo, qual descreve esse nó? SQL <script> Form Document object <area> Uma vez carregado pelo browser, os elementos DOM podem ser invocados a partir de um nó raiz (root), chamado Document Object. JavaScript usa essa organização para “chamar” ou “manipular” um conteúdo carregado, provendo interação e dinamismo à página Web. Vários ataques partem da invocação desse elemento nos scripts de XSS, por exemplo. 0 / 0,5 ptsPergunta 13IncorretaIncorreta Por que os objetos Document Object Model (DOM) são frequentemente alvo de ataques? Dado o seu poder de interação e pela característica de padronização de suas propriedades. Pois não permite modificação de estruturas do HTML. Devido à ausência de HTTPS em sua transmissão. Dada a sua característica de incompatibilidade com navegadores. Devido ao seu número restrito de <iframe>, caracterizando um facilitador para inserção de códigos. Os objetos DOM são frequentemente alvo de ataques, justamente pelo seu poder de interação e pela característica de padronização de suas propriedades. Uma lista dos objetos padronizados pela W3C pode ser obtida em: https://www.w3.org/TR/DOM-Level-3-Core/introduction.html (https://www.w3.org/TR/DOM-Level-3-Core/introduction.html) 0,5 / 0,5 ptsPergunta 14 O Document Object Model (DOM) é um componente da interface Web, independente de plataforma e linguagem de programação (client-side ou server-side). Sua função é: Conferir segurança por meio de chave pública, utilizando algoritmo RSA. Distribuir objetos, que são acessíveis pela rede e contêm documentos XMLS. Possibilitar que usuários possam compartilhar objetos, por meio da função XSS. Distribuir objetos, que são acessíveis pela rede e contêm documentos CSSS. Possibilitar que programas e scripts acessem e modifiquem conteúdos e estruturas da página Web no browser. O Document Object Model (DOM) é um componente da interface Web, independente de plataforma e linguagem de programação (client-side ou server-side), que possibilita que programas e scripts acessem e modifiquem conteúdos, estruturas e estilo dos documentos apresentados no browser do cliente 0,5 / 0,5 ptsPergunta 15 Tags originalmente concebidas para interação como <SCRIPT>, <EMBED>, <APPLET>, ou <OBJECT> são comumente alvo de atacantes para manipulação maliciosa, convertendo os elementos de forma a utilizá-los para condução da invasão ou extração de informação. Outras tags, não originalmente concebidas para interação, mas sim para ornamentação e organização do HTML também podem ser alvo, como, por exemplo: <MOC> https://www.w3.org/TR/DOM-Level-3-Core/introduction.html Recursive <SAND> <SQL> <LI> Tecnicamente, não há restrição de tags que podem ou não podem ser alvo de ataques. A questão explora, portanto, o reconhecimento de tags válidas no contexto. 0,5 / 0,5 ptsPergunta 16 A política de firewall que está relacionada com um grande volume de atividade de TI, atendendo a “chamados”, solicitando acesso a recursos e que tem como característica inicial baixa funcionalidade e alta segurança é chamada de Deny-by-default. Allow-by-default. Call-by-default. Segment-by-default. Trigger-by-default. Negando os acessos inicialmente (deny-by-default), temos baixa produtividade (funcionalidade), mas alta segurança no ambiente. Essa decisão de implementação do firewall, no entanto, quando em ambiente corporativo, vem acompanhada de um aumento no volume de trabalho da equipe de TI, responsável pela operação da infraestrutura, uma vez que os colaboradores solicitarão liberação de acesso para poderem realizar suas atividades. 0,5 / 0,5 ptsPergunta 17 No firewall opensource IPtables, a tabela filter é a tabela default ao configurarmos este equipamento. No entanto, para aplicarmos a política de segurança nessa tabela, devemos escolher três “fluxos” de informação no firewall, representados por chains. Assinale a alternativa que nomeia CORRETAMENTE essas chains do IPtables. PSI e CSI. Drop e Allow INPUT, OUTPUT e FORWARD. Interna e externa. Object related, Object monitor e Object reject. No firewall IPtables, existem diferentes tabelas (daí o nome tables) com chains internas INPUT, OUTPUT e FORWARD para controlar a direção do fluxo de comunicação nas regras. Para cada uma das chains, é possível, nesse firewall, escolher a PSI a ser aplicada por meio da diretiva “Policy”. 0,5 / 0,5 ptsPergunta 18 Ainda que possamos implementar diversos firewalls na rede, o firewall mais importante em um ambiente de infraestrutura Web é conhecido como Statefull firewall Firewall básico (ACL). Proxy firewall. Firewall de borda. Packet-filtering. Ainda que seja possível (e relativamente comum) o uso de diversos firewalls em redes corporativas, para proteger segmentos internos da rede LAN, o firewall mais mencionado na literatura é certamente o firewall de borda (que divide a rede externa da interna), conforme ilustramos nesta unidade. Neste cenário, o uso para proteção da DMZ é o que se vê com mais destaque explorado em artigos de segurança (CHEN et al., 2018. 0 / 0,5 ptsPergunta 19IncorretaIncorreta Assinale a alternativa que descreve CORRETAMENTE a atuação ou importância da implementação de um firewall em uma infraestrutura Web. São bloqueadores de acesso HTTPS São filtros de rede, responsáveis pelo direcionamento ao banco de dados São paredes de fogo que bloqueiam todo o tráfego de rede. São paredes de fogo que possuem duas gerações disponíveis São divisores de domínios de segurança. Firewalls são ferramentas utilizadas para compor segmentos de rede com diferentes políticas de segurança da informação(SÊMOLA, 2014). Atuam, basicamente, como divisores de domínio de segurança. 0,5 / 0,5 ptsPergunta 20 Proxies que recebem solicitações de conexão, nesses protocolos, oriunda de hosts externos, tentando acessar serviços de servidores Web internos (na DMZ, por exemplo), chamamos de Firewall IPtables. Proxy transparente Proxy null. Segmented-proxy. Proxy reverso. Há basicamente dois tipos de proxies. Aqueles que recebem solicitações de conexão, nesses protocolos, oriunda de hosts (computadores) na rede LAN e as direciona para a Internet chamamos de proxy convencional. Já aqueles que recebem solicitações de conexão, nesses protocolos, oriunda de hosts externos, tentando acessar serviços de servidores Web internos (na DMZ, por exemplo), chamamos de proxy reverso. Pontuação do teste: 6,5 de 10
Compartilhar