Avaliação Final da Disciplina - Ataques a Redes e Sistemas

Prévia do material em texto

29/09/2022 10:42 Avaliação Final da Disciplina - Ataques a Redes e Sistemas: Revisão da tentativa
https://ava.cenes.com.br/mod/quiz/review.php?attempt=79763&cmid=2449 1/4
- Meus cursos - - 
- 
Painel Pós-graduação em Gestão de Riscos e Cibersegurança Disciplina 07 - Ataques a Redes e Sistemas
Avaliação Final da Disciplina - Ataques a Redes e Sistemas
Iniciado em Thursday, 29 Sep 2022, 10:28
Estado Finalizada
Concluída em Thursday, 29 Sep 2022, 10:41
Tempo
empregado
13 minutos 23 segundos
Avaliar 10,0 de um máximo de 10,0(100%)
Questão 1
Correto Atingiu 1,0 de 1,0
Segurança na Internet Sessões, cookies e ataques a servidores web 
Há ataques que são muito comuns atualmente, com o uso de spams (e-mails) falsos que contêm conteúdo
idêntico aos sites originais e tentam persuadir o usuário a clicar nos endereços falsos fornecidos. 
O texto acima refere-se a qual tipo de ataque a usuários web?
a. Spam.
b. Phishing. 
São sites falsos que tentam coletar informações confidenciais de
usuários. O ataque de phishing está baseado na falta de atenção do
usuário ao acessar o site.
c. DDoS.
d. Cracker.
e. Hacker.
Questão 2
Correto Atingiu 1,0 de 1,0
Uma aplicação web pode ser atacada por ataques LFI (Local File Inclusion) de inclusão dinâmica de um
arquivo através de scripts maliciosos. Qual seria a solução mais eficaz para eliminar essa vulnerabilidade?
a. Identificar, localizar e modificar ou eliminar os scripts da página web.
b. Não utilizar os campos de formulários da aplicação web que não estejam corretamente implementados.
c. Utilizar nome de tabelas de tabelas ou colunas fornecidos pelos usuários.
d. Impedir a transmissão de entrada
enviada pelo usuário para
qualquer sistema de arquivo.

Para evitar o tipo de ataque LFI é necessário uma série de procedimentos, e um deles é o bloqueio da
transmissão de entrada de dados enviada pelo usuário para qualquer sistema de arquivo, pois
qualquer fonte de dados pode ser uma falha de injeção de variáveis, parâmetros, serviços web
externos e internos, sendo vulneráveis as consultas de interpretação inconsistentes.
e. Manter os dados junto com os comandos de consulta SQL.
Questão 3
Correto Atingiu 1,0 de 1,0
Em aplicativos de conteúdo dinâmico, estes recebem requisições que geram consultas em banco de dados.
Se essas consulta não forem implementadas corretamente podem tornar o aplicativo vulnerável a injeções de
 
https://ava.cenes.com.br/my/
https://ava.cenes.com.br/course/view.php?id=18
https://ava.cenes.com.br/course/view.php?id=18&section=9
https://ava.cenes.com.br/mod/quiz/view.php?id=2449
29/09/2022 10:42 Avaliação Final da Disciplina - Ataques a Redes e Sistemas: Revisão da tentativa
https://ava.cenes.com.br/mod/quiz/review.php?attempt=79763&cmid=2449 2/4
Se essas consulta não forem implementadas corretamente podem tornar o aplicativo vulnerável a injeções de
scripts. Para se evitar esse tipo de ataque é necessário:
a. Manter os dados separados dos comandos e consultas. 
Manter os dados dos comandos e das consultas separados auxilia a
evitar esse tipo de ataque, uma vez que torna mais difícil ao invasor
manipulá-los.
b. Refazer as implementações web nos scripts dos formulários da página web.
c. Atualizar um programa rapidamente, pois uma atualização recente pode conter uma grande falha de segurança.
d. Validar os dados de uma consulta, podendo essa validação ser feita do lado do cliente ou do lado do servidor.
e. Evitar o uso de caracteres de escape específicos do interpretador para que eles não sejam explorados nesse tipo de ataque.
Questão 4
Correto Atingiu 1,0 de 1,0
Existem diversas ferramentas que identificam vulnerabilidades de ataques a servidores web. Qual ferramenta
opensource está relacionada à varredura de rede e auditoria de sistema?
a. SQLMap.
b. Nikto.
c. Zap.
d. THC Hydra.
e. Nmap. 
A alternativa C está correta, pois a Nmap é uma ferramenta que usa pacotes IP para determinar quais
hosts estão ativos na rede, quais serviços (nome do aplicativo e versão) esses hosts estão oferecendo,
quais sistemas operacionais (e versões do sistema operacional) estão executando, que tipo de filtros
de pacotes/firewalls estão em uso e dezenas de outras características.
Questão 5
Correto Atingiu 1,0 de 1,0
O XSS (Cross-Site Scripting) e o CSRF (Cross-Site Request Folgers) são ataques que injetam scripts em
conjunto com os dados que são enviados para o servidor de páginas webs. Nesse sentido, o same origin policy
ou política de mesma origem tem como objetivo:
a. Bloquear e isolar todos os arquivos de scripts .js, evitando que eles sejam acessados.
b. Isolar todos os documentos aparentemente maliciosos em um servidor web, reduzindo possíveis vetores de ataque.
c. Restringir todas as portas de acesso ao servidor web para evitar que os scripts entrem no servidor.
d. Bloquear as páginas web que apresentam códigos scripts Javascript.
e. Restringir a maneira como um
documento ou script carregado de
uma origem pode interagir com um
recurso de outra origem.

A same origin policy ou política de mesma origem é um mecanismo de segurança crítico que
restringe a maneira como um documento ou script carregado de uma origem pode interagir com
um recurso de outra origem. Ajuda a isolar documentos potencialmente maliciosos, reduzindo
possíveis vetores de ataque.
Questão 6
Correto Atingiu 1,0 de 1,0
Atualmente, é muito comum que pessoas mal intencionadas tentem sequestrar a sessão HTTP de um usuário,
o que pode comprometer seus dados e sua privacidade. 
Qual medida a seguir é indicada nesses casos?
a. Ensinar aos clientes as principais ameaças para que ele possa se proteger.
b. Pedir para que o cliente envie seus dados pelos correios e não pela internet.
 
29/09/2022 10:42 Avaliação Final da Disciplina - Ataques a Redes e Sistemas: Revisão da tentativa
https://ava.cenes.com.br/mod/quiz/review.php?attempt=79763&cmid=2449 3/4
c. Essas ameaças são tão complexas que ainda não há proteção a elas.
d. Deixar de solicitar dados ao cliente, para que nem a empresa tenha acesso.
e. Fazer uma associação do endereço de IP do cliente
com uma ficha de sessão.

Essa estratégia é eficaz porque, ao associar o IP a uma ficha de sessão, essa ficha
será válida somente quando houver conexão com aquele IP, o que protege os
dados de máquinas com identificação diferente.
Questão 7
Correto Atingiu 1,0 de 1,0
Sistema da informação: Ataques e Riscos 
Dentre os ataques físicos que foram estudados, aquele que tem por objetivo indisponibilizar um serviço para
que seja possível reduzir ou eliminar uma proteção do sistema denomina-se:
a. Sniffing.
b. Trojan horse.
c. Scanning de vulnerabilidades.
d. DoS – Denial of Service. 
o DoS possui vários tipos de ataques que visam indisponibilizar um serviço
através do consumo da banda de rede, dos recursos de sistema ou até da
adulteração das rotas/DNS, entre outras.
e. Port scanning.
Questão 8
Correto Atingiu 1,0 de 1,0
A ferramenta THC Hydra é uma implementação utilizada para identificar vulnerabilidades em ataques de
força bruta em servidores UNIX e Windows, suportando mais de uma dezena de protocolos, dentre eles NNTP,
HTTPS, SSL, POP3, SMTP, FTP. Um característica típica dessa ferramenta é:
a. Apresentar o resultado de uma varredura automática na qual foram exibidos cinco alertas.
b. Listar o número da porta e o protocolo, o nome do serviço e o estado.
c. Automatizar o processo de detecção e exploração de falhas de injeção de SQL e a invasão de servidores.
d. Realizar uma verficiação no servidor que contém amplo banco de dados das vulnerabilidades conhecidas.
e. Permitir testar logins e senhas únicas ou múltiplas. 
A alternativa B está correta, pois o THC Hydra permite testar logins e senhas
únicas ou múltiplas. Tem como objetivo principal testar múltiplas senhas para
um login ou múltiplos logins e senhas.
Questão 9
Correto Atingiu 1,0 de 1,0
A criptografia é uma forma de representar informações de maneira que as pessoas não autorizadas na
comunicação não consigamcompreender as informações. Assim, qual é nome do método para realizar o
processo inverso da cripotografia?
a. Crifragem.
b. Encriptação.
c. Deschaveamento privado.
d. Deschaveamento público.
e. Decifragem. 
A alternativa D está correta, pois a decifragem apresenta o processo inverso,
ou seja, já de posse do criptograma, pode-se utilizar a chave criptográfica
para se obter o texto original.
 
29/09/2022 10:42 Avaliação Final da Disciplina - Ataques a Redes e Sistemas: Revisão da tentativa
https://ava.cenes.com.br/mod/quiz/review.php?attempt=79763&cmid=2449 4/4
Questão 10
Correto Atingiu 1,0 de 1,0
Os ataques XSS e CSRF são comuns durante o envio de dados de usuários web. Em ambos, os invasores
injetam scripts junto aos dados enviados ao servidor por páginas web. Em um ataque CSRF, o invasor pode,
por exemplo:
a. Enviar informações para um usuário de forma que ele acredite que está em um site que conhece.
b. No CSRF é feita a injeção de SQL e no XSS não.
c. Explorar a confiança que um site
tem em um usuário cadastrado.

Os ataques XSS enviam informações para um usuário de forma que ele acredite que está em um site
que conhece, ou seja, explora a confiança que o usuário tem naquele site. Já os ataques CSRF
exploram a confiança que um site tem em um usuário cadastrado, uma vez que informações
disponíveis a um usuário do mesmo são exploradas nesse tipo de ataque.
d. Reduzir o privilégio do administrador, geralmente tentando obter brechas na segurança do sistemas web.
e. Explorar uma vulnerabilidade de same origin policy e burlar o controle de acesso.
Terminar revisão
Aula 07 - Ferramentas contra … Seguir para...
 
https://ava.cenes.com.br/mod/quiz/view.php?id=2449
https://ava.cenes.com.br/mod/resource/view.php?id=1318&forceview=1