Avaliação de Código de Aplicacões - 01

Prévia do material em texto

A data usada para gerar o hash só valia para o ano até 2016 
Não foi abandonado e é o algoritmo que gera o hash mais forte até hoje 
Computacionalmente a Google consequiu demonstrar que existia 
colisão de hash gerados para dados díspares 
Não comportava tamanhos de dados usados atualmente em arquivos 
maiores 
O algoritmo era privado e não poderia mais ser usado 
O algoritmo SHA-1 era padrão até 2016, quando foi abandonado 
devido a uma nova versão de SHA por uma razão técnica, como 
justificativa escolha abaixo a que mais se encaixa: 
3 / 3 pts 
Pergunta 1 
Pergunta 2 
3 / 3 pts 
 
 
 
 
 
 
 
 
De acordo com a   RFC-7519 (https://tools.ietf.org/html/rfc7519) 
 , JSON Web Tokens (JWT) são uma das formas de exibir dados para 
sua transferência entre duas ou mais partes como um objeto JSON. 
Formado por 3 Partes, cabeçalho, carga útil e assinatura, a parte 
assinatura é gerada de que forma ? 
Gerada pelo algoritmo MD4 e a assinatura é adicionada à caixa inicial 
após um ponto. 
Não existe a parte assinatura a menos que exista o campo typ no 
cabeçalho com o tipo do algoritmo. 
A assinatura fica após ; (ponto e vírgula) depois da Carga 
3 / 3 pts 
Pergunta 3 
 
 
 
Analise as instruções abaixo, conforme o que foi demonstrado na rota 
e deveria ter sito praticado na ferramenta webgoat, a opção que é uma 
instrução SQL maliciosa se encontra na opção: 
SELECT * FROM user_data WHERE last_name = 'Smith’ 
SELECT FIRST FROM user_data 
SELECT * FROM user_data WHERE last_name = 'Smith or '1'='1' 
SELECT * FROM user_data WHERE last_name = 'Smith or Ted ' 
SELECT * FROM user_data 
https://tools.ietf.org/html/rfc7519
https://tools.ietf.org/html/rfc7519
https://tools.ietf.org/html/rfc7519
https://tools.ietf.org/html/rfc7519
 
 
 
DAAS 
SAAS 
PAAS 
Nenhuma das opções 
IAAS 
Qual das plataformas em nuvem abaixo é utilizada para 
desenvolvimento de software especificamente. 
3 / 3 pts 
Pergunta 4 
Como regra, o JWT consiste nas seguintes partes 
Carga útil, cabeçalho, assinatura e complemento 
Pode ter quantas partes se desejar desde que declaradas no cabeçalho 
3 / 3 pts 
Pergunta 5 
 
 
 
 
 
Gerada aleatoriamente por um algoritmo pré-definido 
Gerada pelo algoritmo HMAC-SHA256 e a assinatura é adicionada à 
caixa inicial após um ponto. 
 
 
 
 
 
 
 
Pergunta 6 
3 / 3 pts 
 
 
 
Qual das descrições abaixo configuram um ataque de negação de 
serviço, DDOS 
 
 
 
 
 
 
Ortografia e layout. Gramática e estrutura de frase ruins, erros 
ortográficos e formatação inconsistente são outros indicadores de uma 
possível tentativa de phishing. Instituições respeitáveis têm funcionários 
dedicados que produzem, verificam e revisam as correspondências dos 
clientes. 
 
 
 
Saudações e assinatura genéricas. Tanto uma saudação genérica, 
como “Prezado cliente” ou “Senhor / Senhora”, e a falta de informações 
de contato no bloco de assinatura são fortes indicadores de um e-mail 
de phishing. Uma organização confiável normalmente se dirigirá a você 
pelo nome e fornecerá suas informações de contato. 
 
 
 
Hiperlinks e sites falsificados. Se você passar o cursor sobre qualquer 
link no corpo do e-mail e os links não corresponderem ao texto que 
aparece ao passar o mouse sobre eles, o link pode ser falsificado. Os 
sites maliciosos podem parecer idênticos a um site legítimo, mas o URL 
pode usar uma variação na grafia ou um domínio diferente (por 
exemplo, .com vs. .net). Além disso, os cibercriminosos podem usar um 
serviço de redução de URL para ocultar o verdadeiro destino do link. 
Cabeçalho, carga útil e assinatura 
Cabeçalho, complemento e assinatura 
Somente carga útil e assinatura 
 
 
 
3 / 3 pts 
Pergunta 8 
 
 
 
 
Incorreta 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Anexos suspeitos. Um e-mail não solicitado solicitando o download do 
usuário e a abertura de um anexo é um mecanismo comum de entrega 
de malware. Utiliza-se um falso senso de urgência ou importância para 
ajudar a persuadir um usuário a baixar ou abrir um anexo sem examiná- 
lo primeiro. 
Recebimento no servidor de diversos acessos identificados ou não que 
podem tornar o servidor lento em suas respostas ou eventualmente até 
deixá-lo inoperante 
Pergunta 7 
0
 
/
 
3
 
pts
 
 
 
 
Analise as instruções abaixo, conforme o que foi demonstrado na rota 
e deveria ter sito praticado na ferramenta webgoat, a opção que é uma 
instrução SQL maliciosa se encontra na opção: 
 
 
 
 
 DROP TABLE access_log; 
 
 SELECT FIRST FROM user_data ; 
 
 GRANT ALTER TABLE TO UnauthorizedUser; 
 SELECT * FROM user_data ; 
 
3SL99A'; UPDATE employees SET salary = '50000' WHERE 
last_name='Smith';-- 
 
 
 
 
É quem recebe solicitações de certificados, as autentica, emite os 
certificados solicitados, informa se os certificados estão revogados ou 
não”, esta é uma definição teórica plausível para: 
RC – Responsável pela Certificação 
AC – Autoridade Certificadora 
AC – Assinatura Criptográfica 
AC – Autoridade Criptográfica 
3 / 3 pts 
Pergunta 9 
 
 
 
 
O protocolo SSL / TLS facilita uma conexão usando criptografia 
assimétrica. Isso significa que há duas chaves de criptografia, cada 
uma lidando com metade do processo, estas duas chaves são 
conhecidas como: 
Podem ser quantas chaves forem necessárias 
Uma chave privada para criptografia e uma chave pública para 
descriptografia. 
Uma chave pública para criptografia e uma chave privada para 
descriptografia. 
Duas chaves públicas para criptografia e descriptografia. 
Duas chaves privadas para criptografia e descriptografia. 
 
 
 
Comunicação segura 
Configuração segura 
Ataque seguro 
Consulta segura 
Autenticação Segura 
A maioria dos SGBDs suporta uma variedade de métodos de 
comunicação (serviços, APIs, etc) - seguros (autenticados, 
criptografados) e inseguros (não autenticados ou não criptografados). É 
uma boa prática usar apenas as opções de comunicações seguras de 
acordo com o controle Protect Data Everywhere! Esta característica de 
proteção de banco de dados é definida como: 
3 / 3 pts 
Pergunta 10 
 
 
 
 
 
Pontuação do teste: 27 de 30 
 
RC – Responsável pela Criptografia