Avaliação Final da Disciplina - Ataques a Redes e Sistemas

Prévia do material em texto

- Meus cursos - - 
- 
Painel Pós-graduação em Gestão de Riscos e Cibersegurança Disciplina 07 - Ataques a Redes e Sistemas
Avaliação Final da Disciplina - Ataques a Redes e Sistemas
Iniciado em Sunday, 14 Aug 2022, 12:12
Estado Finalizada
Concluída em Sunday, 14 Aug 2022, 12:37
Tempo
empregado
24 minutos 46 segundos
Avaliar 9,0 de um máximo de 10,0(90%)
Questão 1
Correto Atingiu 1,0 de 1,0
A criptografia é uma forma de representar informações de maneira que as pessoas não autorizadas na
comunicação não consigam compreender as informações. Assim, qual é nome do método para realizar o
processo inverso da cripotografia?
a. Crifragem.
b. Decifragem. 
A alternativa D está correta, pois a decifragem apresenta o processo inverso,
ou seja, já de posse do criptograma, pode-se utilizar a chave criptográfica
para se obter o texto original.
c. Deschaveamento público.
d. Deschaveamento privado.
e. Encriptação.
Questão 2
Correto Atingiu 1,0 de 1,0
Sistema da informação: Ataques e Riscos 
Dentre os ataques físicos que foram estudados, aquele que tem por objetivo indisponibilizar um serviço para
que seja possível reduzir ou eliminar uma proteção do sistema denomina-se:
a. Port scanning.
b. DoS – Denial of Service. 
o DoS possui vários tipos de ataques que visam indisponibilizar um serviço
através do consumo da banda de rede, dos recursos de sistema ou até da
adulteração das rotas/DNS, entre outras.
c. Trojan horse.
d. Sniffing.
e. Scanning de vulnerabilidades.
Questão 3
Correto Atingiu 1,0 de 1,0
O XSS (Cross-Site Scripting) e o CSRF (Cross-Site Request Folgers) são ataques que injetam scripts em
conjunto com os dados que são enviados para o servidor de páginas webs. Nesse sentido, o same origin policy
líti d i t bj ti
 
https://ava.cenes.com.br/my/
https://ava.cenes.com.br/course/view.php?id=18
https://ava.cenes.com.br/course/view.php?id=18&section=9
https://ava.cenes.com.br/mod/quiz/view.php?id=2449
ou política de mesma origem tem como objetivo:
a. Restringir todas as portas de acesso ao servidor web para evitar que os scripts entrem no servidor.
b. Isolar todos os documentos aparentemente maliciosos em um servidor web, reduzindo possíveis vetores de ataque.
c. Bloquear as páginas web que apresentam códigos scripts Javascript.
d. Bloquear e isolar todos os arquivos de scripts .js, evitando que eles sejam acessados.
e. Restringir a maneira como um
documento ou script carregado de
uma origem pode interagir com um
recurso de outra origem.

A same origin policy ou política de mesma origem é um mecanismo de segurança crítico que
restringe a maneira como um documento ou script carregado de uma origem pode interagir com
um recurso de outra origem. Ajuda a isolar documentos potencialmente maliciosos, reduzindo
possíveis vetores de ataque.
Questão 4
Incorreto Atingiu 0,0 de 1,0
A OWASP é uma comunidade aberta, dedicada a permitir que as organizações concebam, desenvolvam,
adquiram, operem e mantenham aplicativos confiáveis. O projeto mantém uma lista chamada TOP 10,
constantemente atualizada dedicada a explicar e auxiliar na solução dos dez principais tipos de ataques no
mundo. A lista TOP 10 da OWASP está relacionada a:
a. Injeção, que é uma falha na qual códigos SQL, NOSQL ou LDPA são processados pelo interpretador como parte de uma consulta
ou comando. Ocupa o primeiro lugar dentre os ataques em âmbito mundial.
b. Quebra de autenticação que trata de uma falha na qual APIs não protegem adequadamente dados confidenciais,
permitindo aos invasores roubar e modificar tais dados que estão mal protegidos.

c. Falha de vulnerabilidade de componentes, o que geralmente leva à execução remota de código. Mesmo que esse tipo de falha
não resulte na execução remota de código, ela pode ser usadas para executar ataques.
d. Exposição de dados sensíveis, que é uma falha em que as funções de um aplicativo relacionadas ao gerenciamento da
autenticação e de sessão são implementadas incorretamente, permitindo aos invasores comprometerem senhas, chaves ou
tokens de sessão.
e. A falha de injeção, que é a configuração incorreta de segurança em que o desenvolvedor mantém as configurações padrão de
um software incompletas ou inadequadas para determinada finalidade.
Questão 5
Correto Atingiu 1,0 de 1,0
Um formulário é um componente de uma página da web que tem controles como campos de texto, botões,
caixas de seleção, controles de intervalo ou selecionadores de cores. Um usuário pode interagir com esse
formulário, fornecendo dados que podem ser enviados ao servidor para processamento adicional, como
retornar os resultados de uma pesquisa ou cálculo. A implementação de um formulário da web consiste:
a. Em formulários que devem ser encaminhados preferencialmente utilizando o método GET por questões de segurança.
b. No atributo enctype, que deve ser obrigatoriamente implementado para garantir o envio dos dados com o time MIME adequado.
c. No atributo enctype, que apresenta o valor padrão text/plain e deve ser obrigatoriamente alterado para application/x-www-
form-urlencoded no caso de formulários que permitem o upload de arquivos.
d. Em etapas de escrever a interface do usuário,
programar o processamento do lado do
servidor e configurar a interface do usuário
para se comunicar com o servidor web.

Implementar formulários na web demanda três etapas, que são: desenvolver a interface
do usuário, programar a processamento server-side e configurar o formulário. As três
etapas são necessárias e podem ser implementadas em qualquer ordem.
e. Na exposição aos servidores de várias maneiras, mais comumente em requisições HTTP, GET ou POST especificados no atributo
action.
Questão 6
Correto Atingiu 1,0 de 1,0
 
Em aplicativos de conteúdo dinâmico, estes recebem requisições que geram consultas em banco de dados.
Se essas consulta não forem implementadas corretamente podem tornar o aplicativo vulnerável a injeções de
scripts. Para se evitar esse tipo de ataque é necessário:
a. Evitar o uso de caracteres de escape específicos do interpretador para que eles não sejam explorados nesse tipo de ataque.
b. Manter os dados separados dos comandos e consultas. 
Manter os dados dos comandos e das consultas separados auxilia a
evitar esse tipo de ataque, uma vez que torna mais difícil ao invasor
manipulá-los.
c. Atualizar um programa rapidamente, pois uma atualização recente pode conter uma grande falha de segurança.
d. Validar os dados de uma consulta, podendo essa validação ser feita do lado do cliente ou do lado do servidor.
e. Refazer as implementações web nos scripts dos formulários da página web.
Questão 7
Correto Atingiu 1,0 de 1,0
A ferramenta THC Hydra é uma implementação utilizada para identificar vulnerabilidades em ataques de
força bruta em servidores UNIX e Windows, suportando mais de uma dezena de protocolos, dentre eles NNTP,
HTTPS, SSL, POP3, SMTP, FTP. Um característica típica dessa ferramenta é:
a. Realizar uma verficiação no servidor que contém amplo banco de dados das vulnerabilidades conhecidas.
b. Apresentar o resultado de uma varredura automática na qual foram exibidos cinco alertas.
c. Listar o número da porta e o protocolo, o nome do serviço e o estado.
d. Automatizar o processo de detecção e exploração de falhas de injeção de SQL e a invasão de servidores.
e. Permitir testar logins e senhas únicas ou múltiplas. 
A alternativa B está correta, pois o THC Hydra permite testar logins e senhas
únicas ou múltiplas. Tem como objetivo principal testar múltiplas senhas para
um login ou múltiplos logins e senhas.
Questão 8
Correto Atingiu 1,0 de 1,0
As invasões ou ataques a servidores de dados são promovidos por especialistas em tecnologias digitais,
contudo de forma ética, conhecidos como:
a. Programadores.
b. Crackers.
c. Boots.
d. Hackers. 
A alternativa A está correta, pois os técnicos especialistas que invadem
servidores de forma ética são denominados hackers, enquando os não éticos
são denominados crackers.
e. Spammers.
Questão 9
Correto Atingiu 1,0de 1,0
Atualmente, é muito comum que pessoas mal intencionadas tentem sequestrar a sessão HTTP de um usuário,
o que pode comprometer seus dados e sua privacidade. 
Qual medida a seguir é indicada nesses casos?
a. Pedir para que o cliente envie seus dados pelos correios e não pela internet.
E t té i é fi i IP fi h d ã fi h
 
b. Fazer uma associação do endereço de IP do cliente
com uma ficha de sessão.

Essa estratégia é eficaz porque, ao associar o IP a uma ficha de sessão, essa ficha
será válida somente quando houver conexão com aquele IP, o que protege os
dados de máquinas com identificação diferente.
c. Ensinar aos clientes as principais ameaças para que ele possa se proteger.
d. Deixar de solicitar dados ao cliente, para que nem a empresa tenha acesso.
e. Essas ameaças são tão complexas que ainda não há proteção a elas.
Questão 10
Correto Atingiu 1,0 de 1,0
Os malwares são ataques realizados no nível da aplicação, muito recorrentes em sistemas distribuídos com
grande fluxo de usuários. O tipo de malware que procura encontrar uma forma de ter acesso ao sistema
através de brechas ou sistemas adulterados denomina-se:
a. Bomba lógica.
b. Worm
c. Spyware .
d. Back door . 
o chamado back door ou trap door procura encontrar vulnerabilidades
de acesso ao sistema desenvolvido, podendo ser também via programas
adulterados.
e. Screenloggers.
Terminar revisão
Aula 07 - Ferramentas contra … Seguir para... Aula 01 - Política de Seguranç… 
 
https://ava.cenes.com.br/mod/quiz/view.php?id=2449
https://ava.cenes.com.br/mod/resource/view.php?id=1318&forceview=1
https://ava.cenes.com.br/mod/resource/view.php?id=1283&forceview=1