Avaliação Final da Disciplina - Ataques a Redes e Sistemas

Prévia do material em texto

Pós-graduação em Gestão de Riscos e Cibersegurança
Parte superior do formulário
Questão 1
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
As invasões ou ataques a servidores de dados são promovidos por especialistas em tecnologias digitais, contudo de forma ética, conhecidos como:
a.
Spammers.
b.
Hackers.
A alternativa A está correta, pois os técnicos especialistas que invadem servidores de forma ética são denominados hackers, enquando os não éticos são denominados crackers.
c.
Programadores.
d.
Boots.
e.
Crackers.
Feedback
A resposta correta é: Hackers.
Questão 2
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Uma aplicação web pode ser atacada por ataques LFI (Local File Inclusion) de inclusão dinâmica de um arquivo através de scripts maliciosos. Qual seria a solução mais eficaz para eliminar essa vulnerabilidade?
a.
Não utilizar os campos de formulários da aplicação web que não estejam corretamente implementados.
b.
Utilizar nome de tabelas de tabelas ou colunas fornecidos pelos usuários.
c.
Manter os dados junto com os comandos de consulta SQL.
d.
Identificar, localizar e modificar ou eliminar os scripts da página web.
e.
Impedir a transmissão de entrada enviada pelo usuário para qualquer sistema de arquivo.
Para evitar o tipo de ataque LFI é necessário uma série de procedimentos, e um deles é o bloqueio da transmissão de entrada de dados enviada pelo usuário para qualquer sistema de arquivo, pois qualquer fonte de dados pode ser uma falha de injeção de variáveis, parâmetros, serviços web externos e internos, sendo vulneráveis as consultas de interpretação inconsistentes.
Feedback
A resposta correta é: Impedir a transmissão de entrada enviada pelo usuário para qualquer sistema de arquivo.
Questão 3
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Atualmente, é muito comum que pessoas mal intencionadas tentem sequestrar a sessão HTTP de um usuário, o que pode comprometer seus dados e sua privacidade.
Qual medida a seguir é indicada nesses casos?
a.
Deixar de solicitar dados ao cliente, para que nem a empresa tenha acesso.
b.
Ensinar aos clientes as principais ameaças para que ele possa se proteger.
c.
Pedir para que o cliente envie seus dados pelos correios e não pela internet.
d.
Essas ameaças são tão complexas que ainda não há proteção a elas.
e.
Fazer uma associação do endereço de IP do cliente com uma ficha de sessão.
Essa estratégia é eficaz porque, ao associar o IP a uma ficha de sessão, essa ficha será válida somente quando houver conexão com aquele IP, o que protege os dados de máquinas com identificação diferente.
Feedback
A resposta correta é: Fazer uma associação do endereço de IP do cliente com uma ficha de sessão.
Questão 4
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Os ataques XSS e CSRF são comuns durante o envio de dados de usuários web. Em ambos, os invasores injetam scripts junto aos dados enviados ao servidor por páginas web. Em um ataque CSRF, o invasor pode, por exemplo:
a.
Explorar uma vulnerabilidade de same origin policy e burlar o controle de acesso.
b.
Explorar a confiança que um site tem em um usuário cadastrado.
Os ataques XSS enviam informações para um usuário de forma que ele acredite que está em um site que conhece, ou seja, explora a confiança que o usuário tem naquele site. Já os ataques CSRF exploram a confiança que um site tem em um usuário cadastrado, uma vez que informações disponíveis a um usuário do mesmo são exploradas nesse tipo de ataque.
c.
Reduzir o privilégio do administrador, geralmente tentando obter brechas na segurança do sistemas web.
d.
Enviar informações para um usuário de forma que ele acredite que está em um site que conhece.
e.
No CSRF é feita a injeção de SQL e no XSS não.
Feedback
A resposta correta é: Explorar a confiança que um site tem em um usuário cadastrado.
Questão 5
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Os malwares são ataques realizados no nível da aplicação, muito recorrentes em sistemas distribuídos com grande fluxo de usuários. O tipo de malware que procura encontrar uma forma de ter acesso ao sistema através de brechas ou sistemas adulterados denomina-se:
a.
Worm
b.
Spyware .
c.
Bomba lógica.
d.
Screenloggers.
e.
Back door .
o chamado back door ou trap door procura encontrar vulnerabilidades de acesso ao sistema desenvolvido, podendo ser também via programas adulterados.
Feedback
A resposta correta é: Back door .
Questão 6
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Um formulário é um componente de uma página da web que tem controles como campos de texto, botões, caixas de seleção, controles de intervalo ou selecionadores de cores. Um usuário pode interagir com esse formulário, fornecendo dados que podem ser enviados ao servidor para processamento adicional, como retornar os resultados de uma pesquisa ou cálculo. A implementação de um formulário da web consiste:
a.
Na exposição aos servidores de várias maneiras, mais comumente em requisições HTTP, GET ou POST especificados no atributo action.
b.
Em formulários que devem ser encaminhados preferencialmente utilizando o método GET por questões de segurança.
c.
No atributo enctype, que apresenta o valor padrão text/plain e deve ser obrigatoriamente alterado para application/x-www-form-urlencoded no caso de formulários que permitem o upload de arquivos.
d.
No atributo enctype, que deve ser obrigatoriamente implementado para garantir o envio dos dados com o time MIME adequado.
e.
Em etapas de escrever a interface do usuário, programar o processamento do lado do servidor e configurar a interface do usuário para se comunicar com o servidor web.
Implementar formulários na web demanda três etapas, que são: desenvolver a interface do usuário, programar a processamento server-side e configurar o formulário. As três etapas são necessárias e podem ser implementadas em qualquer ordem.
Feedback
A resposta correta é: Em etapas de escrever a interface do usuário, programar o processamento do lado do servidor e configurar a interface do usuário para se comunicar com o servidor web.
Questão 7
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Em aplicativos de conteúdo dinâmico, estes recebem requisições que geram consultas em banco de dados. Se essas consulta não forem implementadas corretamente podem tornar o aplicativo vulnerável a injeções de scripts. Para se evitar esse tipo de ataque é necessário:
a.
Refazer as implementações web nos scripts dos formulários da página web.
b.
Manter os dados separados dos comandos e consultas.
Manter os dados dos comandos e das consultas separados auxilia a evitar esse tipo de ataque, uma vez que torna mais difícil ao invasor manipulá-los.
c.
Atualizar um programa rapidamente, pois uma atualização recente pode conter uma grande falha de segurança.
d.
Validar os dados de uma consulta, podendo essa validação ser feita do lado do cliente ou do lado do servidor.
e.
Evitar o uso de caracteres de escape específicos do interpretador para que eles não sejam explorados nesse tipo de ataque.
Feedback
A resposta correta é: Manter os dados separados dos comandos e consultas.
Questão 8
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
A ferramenta THC Hydra é uma implementação utilizada para identificar vulnerabilidades em ataques de força bruta em servidores UNIX e Windows, suportando mais de uma dezena de protocolos, dentre eles NNTP, HTTPS, SSL, POP3, SMTP, FTP. Um característica típica dessa ferramenta é:
a.
Realizar uma verficiação no servidor que contém amplo banco de dados das vulnerabilidades conhecidas.
b.
Permitir testar logins e senhas únicas ou múltiplas.
A alternativa B está correta, pois o THC Hydra permite testar logins e senhas únicas ou múltiplas. Tem como objetivo principal testar múltiplas senhas para um login ou múltiplos logins e senhas.
c.
Apresentar o resultado de uma varredura automática na qual foram exibidos cinco alertas.
d.
Listar o número da porta e o protocolo, o nome do serviço e o estado.
e.
Automatizaro processo de detecção e exploração de falhas de injeção de SQL e a invasão de servidores.
Feedback
A resposta correta é: Permitir testar logins e senhas únicas ou múltiplas.
Questão 9
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
A OWASP é uma comunidade aberta, dedicada a permitir que as organizações concebam, desenvolvam, adquiram, operem e mantenham aplicativos confiáveis. O projeto mantém uma lista chamada TOP 10, constantemente atualizada dedicada a explicar e auxiliar na solução dos dez principais tipos de ataques no mundo. A lista TOP 10 da OWASP está relacionada a:
a.
Quebra de autenticação que trata de uma falha na qual APIs não protegem adequadamente dados confidenciais, permitindo aos invasores roubar e modificar tais dados que estão mal protegidos.
b.
Injeção, que é uma falha na qual códigos SQL, NOSQL ou LDPA são processados pelo interpretador como parte de uma consulta ou comando. Ocupa o primeiro lugar dentre os ataques em âmbito mundial.
c.
Falha de vulnerabilidade de componentes, o que geralmente leva à execução remota de código. Mesmo que esse tipo de falha não resulte na execução remota de código, ela pode ser usadas para executar ataques.
d.
A falha de injeção, que é a configuração incorreta de segurança em que o desenvolvedor mantém as configurações padrão de um software incompletas ou inadequadas para determinada finalidade.
e.
Exposição de dados sensíveis, que é uma falha em que as funções de um aplicativo relacionadas ao gerenciamento da autenticação e de sessão são implementadas incorretamente, permitindo aos invasores comprometerem senhas, chaves ou tokens de sessão.
Comentários
Comentário:
Questão 10
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Sistema da informação: Ataques e Riscos
Dentre os ataques físicos que foram estudados, aquele que tem por objetivo indisponibilizar um serviço para que seja possível reduzir ou eliminar uma proteção do sistema denomina-se:
a.
Scanning de vulnerabilidades.
b.
Sniffing.
c.
Port scanning.
d.
Trojan horse.
e.
DoS – Denial of Service.
o DoS possui vários tipos de ataques que visam indisponibilizar um serviço através do consumo da banda de rede, dos recursos de sistema ou até da adulteração das rotas/DNS, entre outras.
Feedback
A resposta correta é: DoS – Denial of Service.
Parte inferior do formulário
Terminar revisão