AS Geral_ ATAQUES E DEFESAS PARA APLICAÇÕES WEB

Prévia do material em texto

AS Geral
Entrega Sem prazo Pontos 10 Perguntas 20 Disponível 20 abr em 0:00 - 30 abr em 23:59 11 dias
Limite de tempo Nenhum Tentativas permitidas 3
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 102 minutos 6,5 de 10
 As respostas corretas estão ocultas.
Pontuação desta tentativa: 6,5 de 10
Enviado 20 abr em 11:31
Esta tentativa levou 102 minutos.
Fazer o teste novamente
0 / 0,5 ptsPergunta 1IncorretaIncorreta
No dispositivo Web cliente, a aplicação navegador (browser) não possui liberdade de organização das
informações como no dispositivo Web servidor. Isso, porque no lado servidor o programador pode
escolher diferentes locais para armazenamento e apontamento dos conteúdos Web publicados. Essa
capacidade é reduzida no lado cliente devido a uma organização padrão de objetos, chamada de:
 Windows Explorer. 
 Programming Interface (API). 
 Regras WWW. 
 Access List (ACL). 
 Document Object Model (DOM). 
DOM é a implementação que organiza conteúdos HTML e Extensible Markup Language (XML)
em tags específicas para exibição na aplicação Web cliente.
0,5 / 0,5 ptsPergunta 2
Ataques que exploram uma fragilidade do protocolo HTTP - que utiliza o three-way-handshake TCP,
para estabelecimento de conexões entre cliente e servidor - enviam somente parte do conjunto de
mensagens ao servidor. Como resultado, o servidor recebe o pedido do serviço, envia a mensagem ao
solicitante dizendo que já reservou seus recursos computacionais para a oferta do serviço, mas ao não
https://cruzeirodosul.instructure.com/courses/23890/quizzes/61430/history?version=1
https://cruzeirodosul.instructure.com/courses/23890/quizzes/61430/take?user_id=203693
receber a finalização de mensagem mantém o mesmo ativo e pronto, mesmo sem uso. Após receber
uma grande sequência dessas mensagens sem finalização, o servidor pode reservar tanto recurso sem
uso que entra em um estado que chamamos de “congelado”. Esse cenário descreve um ataque
conhecido como:
 DOS. 
 XML. 
 SOX. 
 MOX. 
 TTL. 
Ataques do tipo negação de serviço, do Inglês “denial of service (DOS), geram indisponibilidade
do servidor Web por meio de solicitações de serviços sucessivas e não completadas, de modo a
ocasionar exaustão da capacidade do servidor em responder ao serviço Web.
0 / 0,5 ptsPergunta 3IncorretaIncorreta
A infraestrutura Web é complexa, composta de diversos elementos de rede que dão suporte ao seu
funcionamento. Dois elementos se destacam nessa infraestrutura, um provendo e o outro consumindo
serviços Web. Do ponto de vista da linguagem de programação, qual alternativa descreve esses dois
elementos?
 HTTP e HTTPS. 
 Thin-client e Thick-client. 
 Client-side e Server-side. 
 DNS e TCP. 
 HTML e JavaScript. 
Do ponto de vista de linguagem de programação, divergem aquelas criadas para serem
executadas no cliente (browser), chamadas cliente-side script daquelas criadas para serem
executadas pelo servidor, chamadas de server-side script. Exemplos de parte a parte são
JavaScript (cliente-side) e PHP (server-side).
0 / 0,5 ptsPergunta 4IncorretaIncorreta
Herdada do campo de estudo chamado engenharia de software, o modelo MVC (Model-View-
Controller) vem sendo incorporado à infraestrutura Web, tornando-se especialmente útil, na medida em
que os dispositivos Web clientes começaram a se diferir consideravelmente entre si em termos de
capacidade computacional, recursos de interface, etc. Qual camada do modelo oferece formas de
interação para que o cliente comunique-se de forma específica, de acordo com suas capacidades, para
que ao receber a resposta da solicitação do serviço Web, esta seja adequada às suas especificidades?
 Visão. 
 Alterador. 
 Controlador. 
 Enunciador 
 Modelo. 
Ao interagir com a camada controlador, o dispositivo pode efetuar solicitações específicas,
delimitando um comportamento particular do modelo e, como consequência, recebendo um tipo
adequado de apresentação do conteúdo, provida pela camada de visão.
0,5 / 0,5 ptsPergunta 5
Servidores Web devem ser especialmente protegidos, pois ficam expostos à conexões da rede externa
(Internet). Por isso, dizemos que é uma boa prática, como parte de um processo de hardening,
desativar serviços não utilizados neste servidor, mantendo apenas aqueles essenciais ao papel Web e,
portanto, diminuindo o risco daquele ativo. Chamamos esse tipo de servidor de:
 Server-side. 
 Bastion host. 
 TCP. 
 Router. 
 Black hat. 
Chamamos de bastion host aquele(s) servidor(es) que receberam hardening (processo de
retirada de serviços não utilizados, auditoria constante, atualizações de segurança, etc.) para
suportar os riscos de exposição daquele ativo ao ambiente DMZ ou conexão direta à Internet.
0 / 0,5 ptsPergunta 6IncorretaIncorreta
Ataques que exploram uma fragilidade do protocolo HTTP, que utiliza o three-way-handshake TCP,
para estabelecimento de conexões entre cliente e servidor, enviam somente parte do conjunto de
mensagens ao servidor. Como resultado, o servidor recebe o pedido do serviço, envia a mensagem ao
solicitante dizendo que já reservou seus recursos computacionais para a oferta do serviço, mas, ao não
receber a finalização de mensagem, mantém o mesmo ativo e pronto, mesmo sem uso. Após receber
uma grande sequência dessas mensagens sem finalização, o servidor pode reservar tanto recurso sem
uso que entra em um estado que chamamos de “congelado”. Esse cenário descreve um ataque
conhecido como:
 TTL 
 MOX 
 XML 
 SOX 
 DOS 
Ataques do tipo negação de serviço, do inglês denial of servisse (DOS), geram indisponibilidade
do servidor Web por meio de solicitações de serviços sucessivas e não completadas, de modo a
ocasionar exaustão da capacidade do servidor em responder ao serviço
Web. 
0,5 / 0,5 ptsPergunta 7
Os ataques desse tipo/categoria representam uma importante fatia dos ataques e encontra-se
atualmente no topo do ranking dos ataques mapeados pela OWASP. A qual categoria essa afirmação
se refere?
 Buffer overflow
 DOS
 Injeção de código 
 HTTP 
 Backdoor
Ataques de injeção de código, como, por exemplo, o SQL injection, encontram-se no topo da lista de ameaças em
aplicações Web publicadas pela
OWASP. 
0,5 / 0,5 ptsPergunta 8
Esta categoria de ataque se encaixa no perfil de ataque interceptação. Classificamos este tipo de
ataque como do tipo passivo, sendo de difícil detecção. Chamamos de passivo pois o atacante apenas
observa os pacotes e coleta informações de seu interesse. Estamos nos referindo a que ataque?
 Sniffing
 
Cross-site scripting (XSS)
 
 
SQL Injection
 
 Denial of service (DOS)
 Access List (ACL)
Sniffing são ataques que utilizam ferramentas para observar o trânsito de pacotes na rede. São
de difícil detecção pois não causam “perturbação” na comunicação existente. 
 
0,5 / 0,5 ptsPergunta 9
Como sabemos, a aplicação de controles é um dos principais trabalhos do gestor de segurança depois
de conhecer o modelo de ameaça (TM) quando se está mapeando as ameaças potenciais nas
aplicações Web. Existe uma enorme quantidade de vulnerabilidades já mapeadas que podem ser
pesquisadas, uma vez mapeado o TM, para orientar-nos quanto ao controle/mitigação apropriada.
Chamamos essa base de conhecimento de:
 TM 
 CVE 
 DOCKER 
 CMM 
 CIA 
Common Vulnerabilities and Exposures (CVE) é o nome dado à base de dados contendo vulnerabilidades
conhecidas, que é usada para obter informações de contorno/controle/mitigação para uma ameaça.0,5 / 0,5 ptsPergunta 10
A habilidade desse programa de conseguir obter credenciais válidas depende de seu recurso de
dicionário (combinações de senhas conhecidas) e da capacidade de tentativas sem ser bloqueado.
Estamos falando de que ataque?
 Server descriptor
 MOU-MOC 
 TOC-TOU 
 
Pasword cracking
 
 Bastion Host
Password cracker. Essa categoria de ataque implementa formas de burlar controles de acesso
baseados em senha, que utilizam Password authentication protocol (PAP). 
 
0 / 0,5 ptsPergunta 11IncorretaIncorreta
Observando a conceituação que vimos na unidade anterior, que separava camadas de front-end e
back-end para os aplicativos e dispositivos Web do lado servidor, e considerando os protocolos
SSL/TLS para implementação de canal seguro vistos nesta unidade, é correto afirmar que:
 Aplica-se exclusivamente ao back-end
 
SSL/TLS dependem da validação do browser do usuário, portanto, sua implementação é feita no navegador;
 Aplica-se exclusivamente ao front-end
 
SSL/TLS funcionam baseados em certificados revogados, portanto, sua implementação é feita no servidor
Web.
 Ambos 
Certificados digitais para a implementação de SSL/TLS e formação de canal seguro de
comunicação podem ser implementados tanto na comunicação do browser do usuário com o
servidor Web, quanto deste último com outros servidores internos da infraestrutura (back-end),
oferecendo, nessa versão mais completa, uma proteção mais efetiva contra ataques visando
observar a rede.
0,5 / 0,5 ptsPergunta 12
Uma vez carregados pelo browser, os elementos DOM podem ser invocados a partir de um nó raiz
(root). Das opções abaixo, qual descreve esse nó?
 SQL 
 <script>
 Form
 Document object
 <area>
Uma vez carregado pelo browser, os elementos DOM podem ser invocados a partir de um nó
raiz (root), chamado Document Object. JavaScript usa essa organização para “chamar” ou
“manipular” um conteúdo carregado, provendo interação e dinamismo à página Web. Vários
ataques partem da invocação desse elemento nos scripts de XSS, por
exemplo. 
0 / 0,5 ptsPergunta 13IncorretaIncorreta
Por que os objetos Document Object Model (DOM) são frequentemente alvo de ataques?
 Dado o seu poder de interação e pela característica de padronização de suas propriedades. 
 Pois não permite modificação de estruturas do HTML. 
 Devido à ausência de HTTPS em sua transmissão. 
 Dada a sua característica de incompatibilidade com navegadores. 
 Devido ao seu número restrito de <iframe>, caracterizando um facilitador para inserção de códigos.
Os objetos DOM são frequentemente alvo de ataques, justamente pelo seu poder de interação e pela
característica de padronização de suas propriedades. Uma lista dos objetos padronizados pela W3C pode
ser obtida em: https://www.w3.org/TR/DOM-Level-3-Core/introduction.html
(https://www.w3.org/TR/DOM-Level-3-Core/introduction.html)
 
0,5 / 0,5 ptsPergunta 14
O Document Object Model (DOM) é um componente da interface Web, independente de plataforma e
linguagem de programação (client-side ou server-side). Sua função é:
 Conferir segurança por meio de chave pública, utilizando algoritmo RSA. 
 Distribuir objetos, que são acessíveis pela rede e contêm documentos XMLS. 
 Possibilitar que usuários possam compartilhar objetos, por meio da função XSS. 
 Distribuir objetos, que são acessíveis pela rede e contêm documentos CSSS. 
 
Possibilitar que programas e scripts acessem e modifiquem conteúdos e estruturas da página Web no
browser.
O Document Object Model (DOM) é um componente da interface Web, independente de
plataforma e linguagem de programação (client-side ou server-side), que possibilita que
programas e scripts acessem e modifiquem conteúdos, estruturas e estilo dos documentos
apresentados no browser do
cliente 
0,5 / 0,5 ptsPergunta 15
Tags originalmente concebidas para interação como <SCRIPT>, <EMBED>, <APPLET>, ou
<OBJECT> são comumente alvo de atacantes para manipulação maliciosa, convertendo os elementos
de forma a utilizá-los para condução da invasão ou extração de informação. Outras tags, não
originalmente concebidas para interação, mas sim para ornamentação e organização do HTML
também podem ser alvo, como, por exemplo:
 <MOC>
https://www.w3.org/TR/DOM-Level-3-Core/introduction.html
 Recursive
 <SAND>
 <SQL>
 <LI>
Tecnicamente, não há restrição de tags que podem ou não podem ser alvo de ataques. A
questão explora, portanto, o reconhecimento de tags válidas no contexto. 
 
0,5 / 0,5 ptsPergunta 16
A política de firewall que está relacionada com um grande volume de atividade de TI, atendendo a
“chamados”, solicitando acesso a recursos e que tem como característica inicial baixa funcionalidade e
alta segurança é chamada de
 Deny-by-default.
 Allow-by-default.
 
Call-by-default.
 
 Segment-by-default.
 Trigger-by-default.
Negando os acessos inicialmente (deny-by-default), temos baixa produtividade (funcionalidade),
mas alta segurança no ambiente. Essa decisão de implementação do firewall, no entanto,
quando em ambiente corporativo, vem acompanhada de um aumento no volume de trabalho da
equipe de TI, responsável pela operação da infraestrutura, uma vez que os colaboradores
solicitarão liberação de acesso para poderem realizar suas atividades.
0,5 / 0,5 ptsPergunta 17
No firewall opensource IPtables, a tabela filter é a tabela default ao configurarmos este equipamento.
No entanto, para aplicarmos a política de segurança nessa tabela, devemos escolher três “fluxos” de
informação no firewall, representados por chains. Assinale a alternativa que nomeia CORRETAMENTE
essas chains do IPtables.
 PSI e CSI. 
 Drop e Allow
 INPUT, OUTPUT e FORWARD.
 Interna e externa. 
 Object related, Object monitor e Object reject.
No firewall IPtables, existem diferentes tabelas (daí o nome tables) com chains internas INPUT,
OUTPUT e FORWARD para controlar a direção do fluxo de comunicação nas regras. Para cada
uma das chains, é possível, nesse firewall, escolher a PSI a ser aplicada por meio da diretiva
“Policy”.
0,5 / 0,5 ptsPergunta 18
Ainda que possamos implementar diversos firewalls na rede, o firewall mais importante em um
ambiente de infraestrutura Web é conhecido como
 Statefull firewall
 
Firewall básico (ACL).
 
 Proxy firewall.
 Firewall de borda.
 Packet-filtering.
Ainda que seja possível (e relativamente comum) o uso de diversos firewalls em redes
corporativas, para proteger segmentos internos da rede LAN, o firewall mais mencionado na
literatura é certamente o firewall de borda (que divide a rede externa da interna), conforme
ilustramos nesta unidade. Neste cenário, o uso para proteção da DMZ é o que se vê com mais
destaque explorado em artigos de segurança (CHEN et al., 2018.
0 / 0,5 ptsPergunta 19IncorretaIncorreta
Assinale a alternativa que descreve CORRETAMENTE a atuação ou importância da implementação de
um firewall em uma infraestrutura Web.
 
 São bloqueadores de acesso HTTPS 
 São filtros de rede, responsáveis pelo direcionamento ao banco de dados 
 São paredes de fogo que bloqueiam todo o tráfego de rede. 
 São paredes de fogo que possuem duas gerações disponíveis 
 São divisores de domínios de segurança. 
 Firewalls são ferramentas utilizadas para compor segmentos de rede com diferentes políticas
de segurança da informação(SÊMOLA, 2014). Atuam, basicamente, como divisores de domínio
de segurança.
0,5 / 0,5 ptsPergunta 20
Proxies que recebem solicitações de conexão, nesses protocolos, oriunda de hosts externos, tentando
acessar serviços de servidores Web internos (na DMZ, por exemplo), chamamos de
 Firewall IPtables.
 
Proxy transparente
 
 Proxy null.
 Segmented-proxy.
 
Proxy reverso.
 
Há basicamente dois tipos de proxies. Aqueles que recebem solicitações de conexão, nesses
protocolos, oriunda de hosts (computadores) na rede LAN e as direciona para a Internet
chamamos de proxy convencional. Já aqueles que recebem solicitações de conexão, nesses
protocolos, oriunda de hosts externos, tentando acessar serviços de servidores Web internos
(na DMZ, por exemplo), chamamos de proxy reverso.
Pontuação do teste: 6,5 de 10