Módulo 7 - Ataques a Redes e Sistema

Prévia do material em texto

07/02/2023 18:08 Avaliação Final da Disciplina - Ataques a Redes e Sistemas: Revisão da tentativa
https://ava.cenes.com.br/mod/quiz/review.php?attempt=150905&cmid=2449 2/5
Iniciado em Tuesday, 7 Feb 2023, 17:50
Estado Finalizada
Concluída em Tuesday, 7 Feb 2023, 18:07
Tempo
empregado
17 minutos 10 segundos
Avaliar 9,0 de um máximo de 10,0(90%)
Questão 1
Correto Atingiu 1,0 de 1,0
Existem diversas ferramentas que identificam vulnerabilidades de ataques a servidores web. Qual ferramenta
opensource está relacionada à varredura de rede e auditoria de sistema?
a. THC Hydra.
b. Nikto.
c. SQLMap.
d. Nmap. 
A alternativa C está correta, pois a Nmap é uma ferramenta que usa pacotes IP para determinar quais
hosts estão ativos na rede, quais serviços (nome do aplicativo e versão) esses hosts estão oferecendo,
quais sistemas operacionais (e versões do sistema operacional) estão executando, que tipo de filtros
de pacotes/firewalls estão em uso e dezenas de outras características.
e. Zap.
Questão 2
Incorreto Atingiu 0,0 de 1,0
A OWASP é uma comunidade aberta, dedicada a permitir que as organizações concebam, desenvolvam,
adquiram, operem e mantenham aplicativos confiáveis. O projeto mantém uma lista chamada TOP 10,
constantemente atualizada dedicada a explicar e auxiliar na solução dos dez principais tipos de ataques no
mundo. A lista TOP 10 da OWASP está relacionada a:
a. Exposição de dados sensíveis, que é uma falha em que as funções de um aplicativo relacionadas ao gerenciamento da
autenticação e de sessão são implementadas incorretamente, permitindo aos invasores comprometerem senhas, chaves ou
tokens de sessão.
b. Injeção, que é uma falha na qual códigos SQL,
NOSQL ou LDPA são processados pelo
interpretador como parte de uma consulta ou
comando. Ocupa o primeiro lugar dentre os
ataques em âmbito mundial.

A injeção é, segundo o TOP 10 da OWASP, o principal tipo de ataque mundial a aplicações
web e consiste na execução de código SQL, NOSQL ou LPDA pelo invasor devido a
problemas de implementação e dados não tratados de requisições web.
c. Quebra de autenticação que trata de uma falha na qual APIs não protegem adequadamente dados confidenciais, permitindo
aos invasores roubar e modificar tais dados que estão mal protegidos.
d. A falha de injeção, que é a configuração incorreta de segurança em que o desenvolvedor mantém as configurações padrão de
um software incompletas ou inadequadas para determinada finalidade.
e. Falha de vulnerabilidade de componentes, o que geralmente leva à execução remota de código. Mesmo que esse tipo de falha
não resulte na execução remota de código, ela pode ser usadas para executar ataques.
Questão 3
Correto Atingiu 1,0 de 1,0
A criptografia é uma forma de representar informações de maneira que as pessoas não autorizadas na
comunicação não consigam compreender as informações. Assim, qual é nome do método para realizar o
processo inverso da cripotografia?

07/02/2023 18:08 Avaliação Final da Disciplina - Ataques a Redes e Sistemas: Revisão da tentativa
https://ava.cenes.com.br/mod/quiz/review.php?attempt=150905&cmid=2449 3/5
processo inverso da cripotografia?
a. Decifragem. 
A alternativa D está correta, pois a decifragem apresenta o processo inverso,
ou seja, já de posse do criptograma, pode-se utilizar a chave criptográfica
para se obter o texto original.
b. Encriptação.
c. Deschaveamento privado.
d. Deschaveamento público.
e. Crifragem.
Questão 4
Correto Atingiu 1,0 de 1,0
Segurança na Internet Sessões, cookies e ataques a servidores web
Há ataques que são muito comuns atualmente, com o uso de spams (e-mails) falsos que contêm conteúdo
idêntico aos sites originais e tentam persuadir o usuário a clicar nos endereços falsos fornecidos.
O texto acima refere-se a qual tipo de ataque a usuários web?
a. Cracker.
b. Hacker.
c. Spam.
d. Phishing. 
São sites falsos que tentam coletar informações confidenciais de
usuários. O ataque de phishing está baseado na falta de atenção do
usuário ao acessar o site.
e. DDoS.
Questão 5
Correto Atingiu 1,0 de 1,0
Em aplicativos de conteúdo dinâmico, estes recebem requisições que geram consultas em banco de dados.
Se essas consulta não forem implementadas corretamente podem tornar o aplicativo vulnerável a injeções de
scripts. Para se evitar esse tipo de ataque é necessário:
a. Evitar o uso de caracteres de escape específicos do interpretador para que eles não sejam explorados nesse tipo de ataque.
b. Atualizar um programa rapidamente, pois uma atualização recente pode conter uma grande falha de segurança.
c. Refazer as implementações web nos scripts dos formulários da página web.
d. Manter os dados separados dos comandos e consultas. 
Manter os dados dos comandos e das consultas separados auxilia a
evitar esse tipo de ataque, uma vez que torna mais difícil ao invasor
manipulá-los.
e. Validar os dados de uma consulta, podendo essa validação ser feita do lado do cliente ou do lado do servidor.
Questão 6
Correto Atingiu 1,0 de 1,0
Atualmente, é muito comum que pessoas mal intencionadas tentem sequestrar a sessão HTTP de um usuário,
o que pode comprometer seus dados e sua privacidade.
Qual medida a seguir é indicada nesses casos?
a. Deixar de solicitar dados ao cliente, para que nem a empresa tenha acesso.
b. Essas ameaças são tão complexas que ainda não há proteção a elas.
c Ensinar aos clientes as principais ameaças para que ele possa se proteger

07/02/2023 18:08 Avaliação Final da Disciplina - Ataques a Redes e Sistemas: Revisão da tentativa
https://ava.cenes.com.br/mod/quiz/review.php?attempt=150905&cmid=2449 4/5
c. Ensinar aos clientes as principais ameaças para que ele possa se proteger.
d. Fazer uma associação do endereço de IP do cliente
com uma ficha de sessão.

Essa estratégia é eficaz porque, ao associar o IP a uma ficha de sessão, essa ficha
será válida somente quando houver conexão com aquele IP, o que protege os
dados de máquinas com identificação diferente.
e. Pedir para que o cliente envie seus dados pelos correios e não pela internet.
Questão 7
Correto Atingiu 1,0 de 1,0
O XSS (Cross-Site Scripting) e o CSRF (Cross-Site Request Folgers) são ataques que injetam scripts em
conjunto com os dados que são enviados para o servidor de páginas webs. Nesse sentido, o same origin policy
ou política de mesma origem tem como objetivo:
a. Restringir todas as portas de acesso ao servidor web para evitar que os scripts entrem no servidor.
b. Isolar todos os documentos aparentemente maliciosos em um servidor web, reduzindo possíveis vetores de ataque.
c. Bloquear e isolar todos os arquivos de scripts .js, evitando que eles sejam acessados.
d. Restringir a maneira como um
documento ou script carregado de
uma origem pode interagir com um
recurso de outra origem.

A same origin policy ou política de mesma origem é um mecanismo de segurança crítico que
restringe a maneira como um documento ou script carregado de uma origem pode interagir com
um recurso de outra origem. Ajuda a isolar documentos potencialmente maliciosos, reduzindo
possíveis vetores de ataque.
e. Bloquear as páginas web que apresentam códigos scripts Javascript.
Questão 8
Correto Atingiu 1,0 de 1,0
Uma aplicação web pode ser atacada por ataques LFI (Local File Inclusion) de inclusão dinâmica de um
arquivo através de scripts maliciosos. Qual seria a solução mais eficaz para eliminar essa vulnerabilidade?
a. Utilizar nome de tabelas de tabelas ou colunas fornecidos pelos usuários.
b. Impedir a transmissão de entrada
enviada pelo usuário para
qualquer sistema de arquivo.

Para evitar o tipo de ataque LFI é necessário uma série de procedimentos, e um deles é o bloqueio da
transmissão de entrada de dados enviada pelo usuário para qualquer sistema de arquivo, pois
qualquer fonte de dados pode ser uma falha de injeção de variáveis, parâmetros, serviços web
externos e internos, sendo vulneráveis as consultas de interpretação inconsistentes.
c. Não utilizar os campos de formulários da aplicação web quenão estejam corretamente implementados.
d. Manter os dados junto com os comandos de consulta SQL.
e. Identificar, localizar e modificar ou eliminar os scripts da página web.
Questão 9
Correto Atingiu 1,0 de 1,0
Sistema da informação: Ataques e Riscos
Dentre os ataques físicos que foram estudados, aquele que tem por objetivo indisponibilizar um serviço para
que seja possível reduzir ou eliminar uma proteção do sistema denomina-se:
a. Port scanning.
b. Sniffing.
c. Trojan horse.
d. Scanning de vulnerabilidades.
e. DoS – Denial of Service. 
o DoS possui vários tipos de ataques que visam indisponibilizar um serviço
através do consumo da banda de rede, dos recursos de sistema ou até da
adulteração das rotas/DNS, entre outras.

07/02/2023 18:08 Avaliação Final da Disciplina - Ataques a Redes e Sistemas: Revisão da tentativa
https://ava.cenes.com.br/mod/quiz/review.php?attempt=150905&cmid=2449 5/5
Questão 10
Correto Atingiu 1,0 de 1,0
A ferramenta THC Hydra é uma implementação utilizada para identificar vulnerabilidades em ataques de
força bruta em servidores UNIX e Windows, suportando mais de uma dezena de protocolos, dentre eles NNTP,
HTTPS, SSL, POP3, SMTP, FTP. Um característica típica dessa ferramenta é:
a. Permitir testar logins e senhas únicas ou múltiplas. 
A alternativa B está correta, pois o THC Hydra permite testar logins e senhas
únicas ou múltiplas. Tem como objetivo principal testar múltiplas senhas para
um login ou múltiplos logins e senhas.
b. Realizar uma verficiação no servidor que contém amplo banco de dados das vulnerabilidades conhecidas.
c. Automatizar o processo de detecção e exploração de falhas de injeção de SQL e a invasão de servidores.
d. Listar o número da porta e o protocolo, o nome do serviço e o estado.
e. Apresentar o resultado de uma varredura automática na qual foram exibidos cinco alertas.
Terminar revisão
Aula 07 - Ferramentas contra … Seguir para... Aula 01 - Política de Seguranç… 

https://ava.cenes.com.br/mod/quiz/view.php?id=2449
https://ava.cenes.com.br/mod/resource/view.php?id=1318&forceview=1
https://ava.cenes.com.br/mod/resource/view.php?id=1283&forceview=1