Avaliação Final da Disciplina - Ataques a Redes e Sistemas

Prévia do material em texto

11/11/2022 15:43 Avaliação Final da Disciplina - Ataques a Redes e Sistemas: Revisão da tentativa
https://ava.cenes.com.br/mod/quiz/review.php?attempt=104630&cmid=2449 1/4
- Meus cursos - - 
- 
Painel Pós-graduação em Gestão de Riscos e Cibersegurança Disciplina 07 - Ataques a Redes e Sistemas
Avaliação Final da Disciplina - Ataques a Redes e Sistemas
Iniciado em Friday, 11 Nov 2022, 16:29
Estado Finalizada
Concluída em Friday, 11 Nov 2022, 16:43
Tempo
empregado
14 minutos 2 segundos
Avaliar 9,0 de um máximo de 10,0(90%)
Questão 1
Correto Atingiu 1,0 de 1,0
Em aplicativos de conteúdo dinâmico, estes recebem requisições que geram consultas em banco de dados.
Se essas consulta não forem implementadas corretamente podem tornar o aplicativo vulnerável a injeções de
scripts. Para se evitar esse tipo de ataque é necessário:
a. Manter os dados separados dos comandos e consultas. 
Manter os dados dos comandos e das consultas separados auxilia a
evitar esse tipo de ataque, uma vez que torna mais difícil ao invasor
manipulá-los.
b. Atualizar um programa rapidamente, pois uma atualização recente pode conter uma grande falha de segurança.
c. Refazer as implementações web nos scripts dos formulários da página web.
d. Validar os dados de uma consulta, podendo essa validação ser feita do lado do cliente ou do lado do servidor.
e. Evitar o uso de caracteres de escape específicos do interpretador para que eles não sejam explorados nesse tipo de ataque.
Questão 2
Correto Atingiu 1,0 de 1,0
O XSS (Cross-Site Scripting) e o CSRF (Cross-Site Request Folgers) são ataques que injetam scripts em
conjunto com os dados que são enviados para o servidor de páginas webs. Nesse sentido, o same origin policy
ou política de mesma origem tem como objetivo:
a. Bloquear as páginas web que apresentam códigos scripts Javascript.
b. Restringir todas as portas de acesso ao servidor web para evitar que os scripts entrem no servidor.
c. Isolar todos os documentos aparentemente maliciosos em um servidor web, reduzindo possíveis vetores de ataque.
d. Restringir a maneira como um
documento ou script carregado de
uma origem pode interagir com um
recurso de outra origem.

A same origin policy ou política de mesma origem é um mecanismo de segurança crítico que
restringe a maneira como um documento ou script carregado de uma origem pode interagir com
um recurso de outra origem. Ajuda a isolar documentos potencialmente maliciosos, reduzindo
possíveis vetores de ataque.
e. Bloquear e isolar todos os arquivos de scripts .js, evitando que eles sejam acessados.
Questão 3
Correto Atingiu 1,0 de 1,0
Atualmente, é muito comum que pessoas mal intencionadas tentem sequestrar a sessão HTTP de um usuário,
 
https://ava.cenes.com.br/my/
https://ava.cenes.com.br/course/view.php?id=18
https://ava.cenes.com.br/course/view.php?id=18&section=9
https://ava.cenes.com.br/mod/quiz/view.php?id=2449
11/11/2022 15:43 Avaliação Final da Disciplina - Ataques a Redes e Sistemas: Revisão da tentativa
https://ava.cenes.com.br/mod/quiz/review.php?attempt=104630&cmid=2449 2/4
o que pode comprometer seus dados e sua privacidade. 
Qual medida a seguir é indicada nesses casos?
a. Ensinar aos clientes as principais ameaças para que ele possa se proteger.
b. Pedir para que o cliente envie seus dados pelos correios e não pela internet.
c. Deixar de solicitar dados ao cliente, para que nem a empresa tenha acesso.
d. Essas ameaças são tão complexas que ainda não há proteção a elas.
e. Fazer uma associação do endereço de IP do cliente
com uma ficha de sessão.

Essa estratégia é eficaz porque, ao associar o IP a uma ficha de sessão, essa ficha
será válida somente quando houver conexão com aquele IP, o que protege os
dados de máquinas com identificação diferente.
Questão 4
Correto Atingiu 1,0 de 1,0
Os ataques XSS e CSRF são comuns durante o envio de dados de usuários web. Em ambos, os invasores
injetam scripts junto aos dados enviados ao servidor por páginas web. Em um ataque CSRF, o invasor pode,
por exemplo:
a. Explorar a confiança que um site
tem em um usuário cadastrado.

Os ataques XSS enviam informações para um usuário de forma que ele acredite que está em um site
que conhece, ou seja, explora a confiança que o usuário tem naquele site. Já os ataques CSRF
exploram a confiança que um site tem em um usuário cadastrado, uma vez que informações
disponíveis a um usuário do mesmo são exploradas nesse tipo de ataque.
b. Enviar informações para um usuário de forma que ele acredite que está em um site que conhece.
c. Explorar uma vulnerabilidade de same origin policy e burlar o controle de acesso.
d. No CSRF é feita a injeção de SQL e no XSS não.
e. Reduzir o privilégio do administrador, geralmente tentando obter brechas na segurança do sistemas web.
Questão 5
Correto Atingiu 1,0 de 1,0
A ferramenta THC Hydra é uma implementação utilizada para identificar vulnerabilidades em ataques de
força bruta em servidores UNIX e Windows, suportando mais de uma dezena de protocolos, dentre eles NNTP,
HTTPS, SSL, POP3, SMTP, FTP. Um característica típica dessa ferramenta é:
a. Apresentar o resultado de uma varredura automática na qual foram exibidos cinco alertas.
b. Realizar uma verficiação no servidor que contém amplo banco de dados das vulnerabilidades conhecidas.
c. Permitir testar logins e senhas únicas ou múltiplas. 
A alternativa B está correta, pois o THC Hydra permite testar logins e senhas
únicas ou múltiplas. Tem como objetivo principal testar múltiplas senhas para
um login ou múltiplos logins e senhas.
d. Listar o número da porta e o protocolo, o nome do serviço e o estado.
e. Automatizar o processo de detecção e exploração de falhas de injeção de SQL e a invasão de servidores.
Questão 6
Incorreto Atingiu 0,0 de 1,0
A OWASP é uma comunidade aberta, dedicada a permitir que as organizações concebam, desenvolvam,
adquiram, operem e mantenham aplicativos confiáveis. O projeto mantém uma lista chamada TOP 10,
constantemente atualizada dedicada a explicar e auxiliar na solução dos dez principais tipos de ataques no
mundo. A lista TOP 10 da OWASP está relacionada a:
a. A falha de injeção, que é a configuração incorreta de segurança em que o desenvolvedor mantém as configurações padrão de
 
11/11/2022 15:43 Avaliação Final da Disciplina - Ataques a Redes e Sistemas: Revisão da tentativa
https://ava.cenes.com.br/mod/quiz/review.php?attempt=104630&cmid=2449 3/4
um software incompletas ou inadequadas para determinada finalidade.
b. Injeção, que é uma falha na qual códigos SQL, NOSQL ou LDPA são processados pelo interpretador como parte de uma consulta
ou comando. Ocupa o primeiro lugar dentre os ataques em âmbito mundial.
c. Quebra de autenticação que trata de uma falha na qual APIs não protegem adequadamente dados confidenciais, permitindo
aos invasores roubar e modificar tais dados que estão mal protegidos.
d. Falha de vulnerabilidade de componentes, o que geralmente leva à execução remota de código. Mesmo que esse tipo de
falha não resulte na execução remota de código, ela pode ser usadas para executar ataques.

e. Exposição de dados sensíveis, que é uma falha em que as funções de um aplicativo relacionadas ao gerenciamento da
autenticação e de sessão são implementadas incorretamente, permitindo aos invasores comprometerem senhas, chaves ou
tokens de sessão.
Questão 7
Correto Atingiu 1,0 de 1,0
Os malwares são ataques realizados no nível da aplicação, muito recorrentes em sistemas distribuídos com
grande fluxo de usuários. O tipo de malware que procura encontrar uma forma de ter acesso ao sistema
através de brechas ou sistemas adulterados denomina-se:
a. Worm
b. Back door . 
o chamado back door ou trap door procura encontrar vulnerabilidades
de acesso ao sistema desenvolvido, podendo ser também via programas
adulterados.
c. Screenloggers.
d. Bomba lógica.
e. Spyware .
Questão 8
Correto Atingiu 1,0 de 1,0
Segurança na Internet Sessões, cookies e ataques a servidores web 
Há ataques que são muitocomuns atualmente, com o uso de spams (e-mails) falsos que contêm conteúdo
idêntico aos sites originais e tentam persuadir o usuário a clicar nos endereços falsos fornecidos. 
O texto acima refere-se a qual tipo de ataque a usuários web?
a. Cracker.
b. DDoS.
c. Spam.
d. Phishing. 
São sites falsos que tentam coletar informações confidenciais de
usuários. O ataque de phishing está baseado na falta de atenção do
usuário ao acessar o site.
e. Hacker.
Questão 9
Correto Atingiu 1,0 de 1,0
Existem diversas ferramentas que identificam vulnerabilidades de ataques a servidores web. Qual ferramenta
opensource está relacionada à varredura de rede e auditoria de sistema?
a. Nmap. 
A alternativa C está correta, pois a Nmap é uma ferramenta que usa pacotes IP para determinar quais
hosts estão ativos na rede, quais serviços (nome do aplicativo e versão) esses hosts estão oferecendo,
quais sistemas operacionais (e versões do sistema operacional) estão executando, que tipo de filtros
de pacotes/firewalls estão em uso e dezenas de outras características.
 
11/11/2022 15:43 Avaliação Final da Disciplina - Ataques a Redes e Sistemas: Revisão da tentativa
https://ava.cenes.com.br/mod/quiz/review.php?attempt=104630&cmid=2449 4/4
b. SQLMap.
c. Nikto.
d. Zap.
e. THC Hydra.
Questão 10
Correto Atingiu 1,0 de 1,0
Uma aplicação web pode ser atacada por ataques LFI (Local File Inclusion) de inclusão dinâmica de um
arquivo através de scripts maliciosos. Qual seria a solução mais eficaz para eliminar essa vulnerabilidade?
a. Identificar, localizar e modificar ou eliminar os scripts da página web.
b. Manter os dados junto com os comandos de consulta SQL.
c. Utilizar nome de tabelas de tabelas ou colunas fornecidos pelos usuários.
d. Não utilizar os campos de formulários da aplicação web que não estejam corretamente implementados.
e. Impedir a transmissão de entrada
enviada pelo usuário para
qualquer sistema de arquivo.

Para evitar o tipo de ataque LFI é necessário uma série de procedimentos, e um deles é o bloqueio da
transmissão de entrada de dados enviada pelo usuário para qualquer sistema de arquivo, pois
qualquer fonte de dados pode ser uma falha de injeção de variáveis, parâmetros, serviços web
externos e internos, sendo vulneráveis as consultas de interpretação inconsistentes.
Terminar revisão
Aula 07 - Ferramentas contra … Seguir para... Aula 01 - Política de Seguranç… 
 
https://ava.cenes.com.br/mod/quiz/view.php?id=2449
https://ava.cenes.com.br/mod/resource/view.php?id=1318&forceview=1
https://ava.cenes.com.br/mod/resource/view.php?id=1283&forceview=1