Baixe o app para aproveitar ainda mais
Prévia do material em texto
- Meus cursos - - - Painel Pós-graduação em Gestão de Riscos e Cibersegurança Disciplina 07 - Ataques a Redes e Sistemas Avaliação Final da Disciplina - Ataques a Redes e Sistemas Iniciado em Sunday, 14 Aug 2022, 12:12 Estado Finalizada Concluída em Sunday, 14 Aug 2022, 12:37 Tempo empregado 24 minutos 46 segundos Avaliar 9,0 de um máximo de 10,0(90%) Questão 1 Correto Atingiu 1,0 de 1,0 A criptografia é uma forma de representar informações de maneira que as pessoas não autorizadas na comunicação não consigam compreender as informações. Assim, qual é nome do método para realizar o processo inverso da cripotografia? a. Crifragem. b. Decifragem. A alternativa D está correta, pois a decifragem apresenta o processo inverso, ou seja, já de posse do criptograma, pode-se utilizar a chave criptográfica para se obter o texto original. c. Deschaveamento público. d. Deschaveamento privado. e. Encriptação. Questão 2 Correto Atingiu 1,0 de 1,0 Sistema da informação: Ataques e Riscos Dentre os ataques físicos que foram estudados, aquele que tem por objetivo indisponibilizar um serviço para que seja possível reduzir ou eliminar uma proteção do sistema denomina-se: a. Port scanning. b. DoS – Denial of Service. o DoS possui vários tipos de ataques que visam indisponibilizar um serviço através do consumo da banda de rede, dos recursos de sistema ou até da adulteração das rotas/DNS, entre outras. c. Trojan horse. d. Sniffing. e. Scanning de vulnerabilidades. Questão 3 Correto Atingiu 1,0 de 1,0 O XSS (Cross-Site Scripting) e o CSRF (Cross-Site Request Folgers) são ataques que injetam scripts em conjunto com os dados que são enviados para o servidor de páginas webs. Nesse sentido, o same origin policy líti d i t bj ti https://ava.cenes.com.br/my/ https://ava.cenes.com.br/course/view.php?id=18 https://ava.cenes.com.br/course/view.php?id=18§ion=9 https://ava.cenes.com.br/mod/quiz/view.php?id=2449 ou política de mesma origem tem como objetivo: a. Restringir todas as portas de acesso ao servidor web para evitar que os scripts entrem no servidor. b. Isolar todos os documentos aparentemente maliciosos em um servidor web, reduzindo possíveis vetores de ataque. c. Bloquear as páginas web que apresentam códigos scripts Javascript. d. Bloquear e isolar todos os arquivos de scripts .js, evitando que eles sejam acessados. e. Restringir a maneira como um documento ou script carregado de uma origem pode interagir com um recurso de outra origem. A same origin policy ou política de mesma origem é um mecanismo de segurança crítico que restringe a maneira como um documento ou script carregado de uma origem pode interagir com um recurso de outra origem. Ajuda a isolar documentos potencialmente maliciosos, reduzindo possíveis vetores de ataque. Questão 4 Incorreto Atingiu 0,0 de 1,0 A OWASP é uma comunidade aberta, dedicada a permitir que as organizações concebam, desenvolvam, adquiram, operem e mantenham aplicativos confiáveis. O projeto mantém uma lista chamada TOP 10, constantemente atualizada dedicada a explicar e auxiliar na solução dos dez principais tipos de ataques no mundo. A lista TOP 10 da OWASP está relacionada a: a. Injeção, que é uma falha na qual códigos SQL, NOSQL ou LDPA são processados pelo interpretador como parte de uma consulta ou comando. Ocupa o primeiro lugar dentre os ataques em âmbito mundial. b. Quebra de autenticação que trata de uma falha na qual APIs não protegem adequadamente dados confidenciais, permitindo aos invasores roubar e modificar tais dados que estão mal protegidos. c. Falha de vulnerabilidade de componentes, o que geralmente leva à execução remota de código. Mesmo que esse tipo de falha não resulte na execução remota de código, ela pode ser usadas para executar ataques. d. Exposição de dados sensíveis, que é uma falha em que as funções de um aplicativo relacionadas ao gerenciamento da autenticação e de sessão são implementadas incorretamente, permitindo aos invasores comprometerem senhas, chaves ou tokens de sessão. e. A falha de injeção, que é a configuração incorreta de segurança em que o desenvolvedor mantém as configurações padrão de um software incompletas ou inadequadas para determinada finalidade. Questão 5 Correto Atingiu 1,0 de 1,0 Um formulário é um componente de uma página da web que tem controles como campos de texto, botões, caixas de seleção, controles de intervalo ou selecionadores de cores. Um usuário pode interagir com esse formulário, fornecendo dados que podem ser enviados ao servidor para processamento adicional, como retornar os resultados de uma pesquisa ou cálculo. A implementação de um formulário da web consiste: a. Em formulários que devem ser encaminhados preferencialmente utilizando o método GET por questões de segurança. b. No atributo enctype, que deve ser obrigatoriamente implementado para garantir o envio dos dados com o time MIME adequado. c. No atributo enctype, que apresenta o valor padrão text/plain e deve ser obrigatoriamente alterado para application/x-www- form-urlencoded no caso de formulários que permitem o upload de arquivos. d. Em etapas de escrever a interface do usuário, programar o processamento do lado do servidor e configurar a interface do usuário para se comunicar com o servidor web. Implementar formulários na web demanda três etapas, que são: desenvolver a interface do usuário, programar a processamento server-side e configurar o formulário. As três etapas são necessárias e podem ser implementadas em qualquer ordem. e. Na exposição aos servidores de várias maneiras, mais comumente em requisições HTTP, GET ou POST especificados no atributo action. Questão 6 Correto Atingiu 1,0 de 1,0 Em aplicativos de conteúdo dinâmico, estes recebem requisições que geram consultas em banco de dados. Se essas consulta não forem implementadas corretamente podem tornar o aplicativo vulnerável a injeções de scripts. Para se evitar esse tipo de ataque é necessário: a. Evitar o uso de caracteres de escape específicos do interpretador para que eles não sejam explorados nesse tipo de ataque. b. Manter os dados separados dos comandos e consultas. Manter os dados dos comandos e das consultas separados auxilia a evitar esse tipo de ataque, uma vez que torna mais difícil ao invasor manipulá-los. c. Atualizar um programa rapidamente, pois uma atualização recente pode conter uma grande falha de segurança. d. Validar os dados de uma consulta, podendo essa validação ser feita do lado do cliente ou do lado do servidor. e. Refazer as implementações web nos scripts dos formulários da página web. Questão 7 Correto Atingiu 1,0 de 1,0 A ferramenta THC Hydra é uma implementação utilizada para identificar vulnerabilidades em ataques de força bruta em servidores UNIX e Windows, suportando mais de uma dezena de protocolos, dentre eles NNTP, HTTPS, SSL, POP3, SMTP, FTP. Um característica típica dessa ferramenta é: a. Realizar uma verficiação no servidor que contém amplo banco de dados das vulnerabilidades conhecidas. b. Apresentar o resultado de uma varredura automática na qual foram exibidos cinco alertas. c. Listar o número da porta e o protocolo, o nome do serviço e o estado. d. Automatizar o processo de detecção e exploração de falhas de injeção de SQL e a invasão de servidores. e. Permitir testar logins e senhas únicas ou múltiplas. A alternativa B está correta, pois o THC Hydra permite testar logins e senhas únicas ou múltiplas. Tem como objetivo principal testar múltiplas senhas para um login ou múltiplos logins e senhas. Questão 8 Correto Atingiu 1,0 de 1,0 As invasões ou ataques a servidores de dados são promovidos por especialistas em tecnologias digitais, contudo de forma ética, conhecidos como: a. Programadores. b. Crackers. c. Boots. d. Hackers. A alternativa A está correta, pois os técnicos especialistas que invadem servidores de forma ética são denominados hackers, enquando os não éticos são denominados crackers. e. Spammers. Questão 9 Correto Atingiu 1,0de 1,0 Atualmente, é muito comum que pessoas mal intencionadas tentem sequestrar a sessão HTTP de um usuário, o que pode comprometer seus dados e sua privacidade. Qual medida a seguir é indicada nesses casos? a. Pedir para que o cliente envie seus dados pelos correios e não pela internet. E t té i é fi i IP fi h d ã fi h b. Fazer uma associação do endereço de IP do cliente com uma ficha de sessão. Essa estratégia é eficaz porque, ao associar o IP a uma ficha de sessão, essa ficha será válida somente quando houver conexão com aquele IP, o que protege os dados de máquinas com identificação diferente. c. Ensinar aos clientes as principais ameaças para que ele possa se proteger. d. Deixar de solicitar dados ao cliente, para que nem a empresa tenha acesso. e. Essas ameaças são tão complexas que ainda não há proteção a elas. Questão 10 Correto Atingiu 1,0 de 1,0 Os malwares são ataques realizados no nível da aplicação, muito recorrentes em sistemas distribuídos com grande fluxo de usuários. O tipo de malware que procura encontrar uma forma de ter acesso ao sistema através de brechas ou sistemas adulterados denomina-se: a. Bomba lógica. b. Worm c. Spyware . d. Back door . o chamado back door ou trap door procura encontrar vulnerabilidades de acesso ao sistema desenvolvido, podendo ser também via programas adulterados. e. Screenloggers. Terminar revisão Aula 07 - Ferramentas contra … Seguir para... Aula 01 - Política de Seguranç… https://ava.cenes.com.br/mod/quiz/view.php?id=2449 https://ava.cenes.com.br/mod/resource/view.php?id=1318&forceview=1 https://ava.cenes.com.br/mod/resource/view.php?id=1283&forceview=1
Compartilhar