SEGURANÇA DE APLICAÇÕES

Prévia do material em texto

1.
		Na especificação de requisitos, qual das opções abaixo indica como os requisitos podem ser classificados:
	
	
	
	lógicos e consistentes.
	
	
	funcionais e lógicos.
	
	
	precisos e lógicos.
	
	
	não-funcionais e analíticos.
	
	
	funcionais e não-funcionais.
	
Explicação:
São classificados como: funcionais e não-funcionais.
	
	
	
	 
		
	
		2.
		São exemplos de processos da metodologia ágil?
	
	
	
	PDCA e Crystal
	
	
	Scrum e RUP
	
	
	RUP e XP 
	
	
	Crystal e Scrum
	
	
	XP e Scrum
	
Explicação:
São considerados como métodos ágeis XP e Scrum
	
	
	
	 
		
	
		3.
		Nas alternativas que seguem estão relacionadas algumas das etapas do desenvolvimento de software. Marque a alternativa na qual as etapas estão na sequencia correta de execução. 
	
	
	
	Planejamento, Análise de Requisitos, Manutenção, Teste.
	
	
	Planejamento, Análise de Requisitos, Teste, Implantação.
	
	
	Análise de Requisitos, Planejamento, Teste, Implantação.
	
	
	Análise de Requisitos, Planejamento, Manutenção, Teste.
	
	
	Projeto e Prototipagem, Planejamento, Programação, Implantação.
	
Explicação:
As etapas de desenvolvimento de software na ordem correta, são:
· Planejamento
· Análise de Requisitos
· Projeto e Prototipagem de Software
· Programação
· Teste
· Implantação.
· Manutenção
Lembrando que o enunciado cita apenas algumas etapas.
		1.
		Marque a resposta certa de acordo com as assertivas abaixo:
I - O modelo iterativo é considerado o mais antigo e conhecido pelos desenvolvedores.
II - O processo em cascata é preferido por desenvolvedores porque lhes fornece um potencial para atingir os objetivos de projeto de um cliente que não sabe exatamente o que quer, ou quando não se conhece bem todos os aspectos da solução.
III - Os processos ágeis usam o feedback, mais que o planejamento, como seus mecanismos de controle primário.
IV - No processo não-ágil o feedback é produzido por testes regulares e das versões do software desenvolvido.
	
	
	
	Apenas a opção IV está correta.
	
	
	Apenas a opção I está correta.
	
	
	Todas as acertivas estão corretas.
	
	
	Apenas a opção II está correta.
	
	
	Apenas a opção III está correta.
	
Explicação:
Modelo Iterativo e Incremental é um dos clássicos modelos de processo de desenvolvimento de software criado em resposta às fraquezas do modelo em cascata, o mais tradicional. Os dois padrões mais conhecidos de sistemas iterativos de desenvolvimento são o RUP (Processo Unificado da Rational) e o Desenvolvimento ágil de software. Por isso o desenvolvimento iterativo e incremental é também uma parte essencial da Programação Extrema e outros.
O Modelo em Cascata é um modelo de desenvolvimento de software seqüencial no qual o processo é visto como um fluir constante para frente (como uma cascata) através das fases de análise de requisitos, projeto, implementação, testes (validação), integração, e manutenção de software. A origem do termo cascata é frequentemente citado como sendo um artigo publicado em 1970 por W. W. Royce; ironicamente, Royce defendia um abordagem iterativa para o desenvolvimento de software e nem mesmo usou o termo cascata. Royce originalmente descreve o que é hoje conhecido como o modelo em cascata como um exemplo de um método que ele argumentava ser um risco e um convite para falhas.
Os processos ágeis, é um processo baseado na experiência e na observação, com feedebacks e com ciclos constantes de inspeção e adaptação, a equipe trabalha sempre num ambiente de melhoria contínua. O Manifesto deixa claro que é preciso valorizar agilidade, simplicidade, excelência técnica, pessoas e feedback constante.
 
	
	
	
	 
		
	
		2.
		No que tange a questão dos processos ágeis, é verdadeiro afirmar que ...
    
I - usam o feed-back mais que o planejamento como seus mecanismos de controle
II - é o processo mais antigo onde os desenvolvedores seguem os passos em ordem
III - as interações ocorrem em ciclo de cascateamento
IV - o desenvolvimento é iterativo e incremental
V - usado para processos cujo ciclo de vida é bastante longo
Assinale a alternativa correta.
	
	
	
	Apenas as opções II e III estão corretas.
	
	
	Apenas as opções II e V estão corretas.
	
	
	Apenas as opções III e IV estão corretas.
	
	
	Apenas as opções I e II estão corretas.
	
	
	Apenas as opções I e IV estão corretas.
	
Explicação:
Os processos ágeis usam o feed-back mais que o planejamento como seus mecanismos de controle e o desenvolvimento é iterativo e incremental
	
	
	
	 
		
	
		3.
		O Processo de Desenvolvimento de Software (PDS) foi uma forma de aumentar o nível / grau de maturidade nos processos dentro das organizações.
Qual opção abaixo NÃO é verdadeira em relação aos processos ou métodos ágeis ?
	
	
	
	Construa um ambiente de confiaçãoe com pessoas motivadas.
	
	
	Mudanças de requisitos são bem-vindas.
	
	
	Tem como prioridade satisfazer o cliente com entregas rápidas.
	
	
	A equipe de trabalho - gerente e desenvolvedores, devem trabalhar de forma colaborativa e em conjunto.
	
	
	Todo método de comunicação deve ser feito através de documentos fomais, ou seja, não transmitir informações através de conversas.    
	
Explicação:
Os processos ou métodos ágeis são baseados em trabalho cooperativo do que o formalismo. A maior prioridade é satisfazer o cliente.
		1.
		O processo de medição funcional de um software utilizando pontos de função possui uma série de etapas, dentre elas, a de medir as funções de transação. Estas funções representam a funcionalidade fornecida ao usuário para atender às suas necessidades de processamento de dados pela aplicação. São classificadas em entradas externas, saídas externas ou consultas externas. Constitui exemplo de entrada externa:
	
	
	
	Telas de login com objetivo de verificar se o usuário pode ou não acessar o sistema.
	
	
	Telas de filtro de relatório e consultas.
	
	
	Processamento em lotes de atualização de bases cadastrais a partir de arquivos de movimento.
	
	
	Relatórios que possuem totalização de dados.
	
	
	Informações que possuem formato gráfico.
	
Explicação:
Processamento em lotes de atualização de bases cadastrais a partir de arquivos de movimento.
	
	
	
	 
		
	
		2.
		Qual das alternativas cita corretamente exemplos de métricas que podem ser usadas para medir a complexidade de um programa?
	
	
	
	Métricas de Halstead e Scrum
	
	
	Métricas de Halstead e Análise de pontos de função
	
	
	Índice de manutenção e Análise de pontos de função
	
	
	Complexidade ciclomática e Análise de pontos de função
	
	
	Complexidade ciclomática e Índice de manutenção
	
Explicação:
As seguintes métricas podem ser usadas para medir a complexidade de um programa:
· Complexidade ciclomática 
· Métricas de Halstead
· Índice de manutenção
· Métricas de Projeto Orientado a Objetos
	
	
	
	 
		
	
		3.
		Com relação ao tamanho e complexidade de software, assinale a opção correta, considerando tais características nos anos 60, 80 e a partir de 2000.
	
	
	
	Em 1960 o tamaho era minimo e em 2000 a complexidade era média.
	
	
	Em 1980 o tamanho era pequeno e a complexidade alta.
	
	
	Em 1980 a complexidade era média e em 2000 a complexidade era alta.
	
	
	Em 1960 o tamanho era mínimo e em 1980 a complexidade era relativa.
	
	
	Em 1960 o tamanho era mínimo e em 2000 o tamanho é o mesmo.
	
Explicação:
No Cenário Atual do desenvolvimento de o conceito de teste ganha complexidade, pois os riscos dos softwares não funcionarem a contento, cresce de forma exponencial.
Myers concluiu que zero-defeito é algo inatingível? Ou seja, pela complexidade envolvida e pelo número altíssimo de situações existentes, torna-se impossível imaginar um produto de software 'livre de erros'. Sempre existirão erros a serem descobertos.
		1.
		A tarefa de efetuar testes, em software, foi considerada secundária por muito tempo. Geralmente, era vista como castigo para o programador oucomo uma tarefa, onde não se deveria gastar muito tempo e investimentos. O tema esteve relegado a segundo plano e, até alguns anos atrás, não se encontrava muita literatura sobre o assunto. Este é um paradigma que vem mudando no mundo moderno de desenvolvimento de software. Um dos testes, que ajudou a mudar este paradigma, é o teste de aceitação que tem como principal característica
 
	
	
	
	ser realizado, com o cliente, apenas após a implantação do software.
	
	
	ser realizado, com o cliente, apenas após o treinamento de uso do software.
	
	
	verificar o sistema, em relação aos seus requisitos originais e às necessidades atuais do usuário.
	
	
	ser realizado, pelos analistas de teste, no meio do processo de desenvolvimento do produto.
	
	
	ser realizado no início do desenvolvimento do software, com o objetivo de evitar futuros erros, durante o processo de desenvolvimento.
	
Explicação:
O teste de aceitação possui como uma das suas principais caracterísiticas a verificação do sistema, em relação aos seus requisitos originais e às necessidades atuais do usuário.
	
	
	
	 
		
	
		2.
		Miguel, que não se preocupa com segurança, vai para o seu trabalho e conecta seu pendrive pessoal em um dos computadores da empresa, ao executar um aquivo e sem que ele perceba um código malicioso é transferido para o computador. Nesse contexto, há uma vulnerabilidade que poderia melhor ser classificada como:
	
	
	
	Vulnerabilidade do lado do cliente
	
	
	Vulnerabilidade de política de segurança
	
	
	Vulnerabilidade do lado do servidor
	
	
	Vulnerabilidade de aplicativos
	
	
	Vulnerabilidade de hardware
	
Explicação:
O fato de Miguel não se preocupar com segurança, conectando seu pendrive pessoal em um dos computadores da empresa já deixa clara a falta de uma política de segurança por parte da empresa, que deve incluir treinamento básico em segurança para os seus funcionários.
	
	
	
	 
		
	
		3.
		O Processo de Testes de Software representa uma estrutura das etapas, atividades, artefatos, papéis e responsabilidades. Sendo assim, o que busca esse processo?
I. Padronizar os trabalhos para um melhor controle dos projetos de testes.
II. Minimizar os riscos causados por defeitos provenientes do processo de desenvolvimento como também a redução de custos de correção de defeitos.
III. Redução de custos de correção de defeitos.
Assinale a única alternativa correta.
 
	
	
	
	Todos os itens estão corretos.
	
	
	Apenas o item II está correto.
	
	
	Apenas o item III está correto.
	
	
	Apenas os itens II e III estão corretos.
	
	
	Apenas os itens I e II estão corretos.
	
Explicação:
O Processo de Testes de Software representa uma estrutura das etapas, atividades, artefatos, papéis e responsabilidades, buscando padronizar os trabalhos para um melhor controle dos projetos de testes. O objetivo de um Processo de teste (com metodologia própria, ciclo de vida, etc.) é minimizar os riscos causados por defeitos provenientes do processo de desenvolvimento como também a redução de custos de correção de defeitos, pois, o custo do software (desenvolvimento + manutenção) tende a ser menor quando o software é bem testado.
		1.
		Assinale qual é o método de teste de caixa branca (white box), que apresenta uma métrica de software e estabelece um limite máximo para o número de testes que deve se executado para garantir que todas as instruções sejam executadas pelo menos uma vez.
 
	
	
	
	Complexidade Ciclomática
	
	
	Teste de Condição
	
	
	Teste de Fluxo de Dados
	
	
	Teste de Estrutura de Controle
	
	
	Teste de Laços (loops)
	
	
	
	 
		
	
		2.
		(FCC - TRT - 4ª REGIÃO/RS - 2015) Após a codificação terminar em alguma fase, a técnica para projeto de casos de teste conhecida como Caixa Preta terá como um de seus principais objetivos
	
	
	
	garantir que todos os laços sejam testados dentro dos limites operacionais do sistema.
	
	
	garantir que todos os caminhos independentes dentro de um módulo de software tenham sido exercitados pelo menos uma vez.
	
	
	exercitar todas as decisões lógicas para valores verdadeiros e falsos.
	
	
	encontrar funções incorretas ou ausentes.
	
	
	exercitar estruturas de dados internas para garantir a sua qualidade e validade.
	
Explicação:
O teste caixa preta tem como um de seus principais objetivos encontrar funções incorretas ou ausentes.
 
	
	
	
	 
		
	
		3.
		Considerando as melhores práticas para desenvolvimento de código seguro, o que são testes de caixa cinza?
	
	
	
	São testes baseados nos requisitos do software, sem acesso ao código fonte.
	
	
	São testes com acesso ao código fonte, desse modo podem ser elaborados para verificar partes específicas do sistema.
	
	
	Envolve aspectos dos testes de caixa branca e preta.
	
	
	São testes de engenharia social, sem nenhum acesso ao código fonte.
	
	
	São testes triviais feitos por usuários, não pela equipe de desenvolvimento.
	
Explicação:
Testes de caixa cinza envolve aspectos dos testes de caixa branca e preta.
		1.
		Documentar requisitos é uma prática que deve ser usada em todo desenvolvimento de sistema, pois traz muitos benefícios.
Marque a alternativa que NÃO corresponde a um benefício de se ter composto uma documentação de requisitos.
 
	
	
	
	Assume um compromisso com a comunicação dos requisitos para o cliente.
	
	
	Norteia o desenvolvimento do projeto.
	
	
	Pode ser construída fora de padrão, pois o importante é que as informações sejam registradas e de fácil acesso.
	
	
	Pode ser usado como suporte no desenvolvimento para validação das informações.
	
	
	Garante a continuidade dos sistemas, para o processo de manutenção.
	
	
	
	 
		
	
		2.
		Entre as características fundamentais de um sistema cliente/servidor, é incorreto afirmar que:
	
	
	
	Interações entre clientes e servidores seguem o modelo requisição/resposta
	
	
	Existem processos provendo serviços, chamados servidores
	
	
	Existem processos consumindo serviços, chamados clientes
	
	
	A comunicação cliente/servidor é síncrona por definição
	
	
	Clientes e servidores podem ou não estar em máquinas diferentes
	
	
	
	 
		
	
		3.
		Para melhor se entender o paradigma Cliente/Servidor é necessário observar que o conceito chave está na ligação lógica e não física. O Cliente e o Servidor podem coexistir ou não na mesma máquina. As opções abaixo apresentam característica do lado Cliente:
I- Cliente, também denominado de "front-end", é um processo que interage com o usuário através de uma interface gráfica.
II- É o processo ativo na relação Cliente/Servidor.
III- Não se comunica com outros Clientes.
Assinale a opção CORRETA.
	
	
	
	Somente os itens II e III estão corretos
	
	
	Os itens I, II e III estão corretos
	
	
	Somente os itens I e III estão corretos
	
	
	Somente o item II está correto
	
	
	Somente o item I está correto
		1.
		Uma das vulnerabilidades mencionadas na lista da OWASP é a de Exposição de Dados Sensíveis. Selecione a opção correta que corresponde ao modo como é realizado o ataque de uma entidade externa:
 
	
	
	
	Esse ataque ocorre exclusivamente no lado do cliente
	
	
	O ataque ocorre buscando dados da Internet
	
	
	A partir de programas escritos na linguagem Java Script, que é o padrão de programação na web
	
	
	É feita uma busca dos dados pessoais da vítima
	
	
	O ataque ocorre através da inserção de código sql nas entradas escritas em html sem o devido tratamento
	
	
	
	 
		
	
		2.
		Ao fazer referência ao ataque de Injeção ser bem-sucedido, ele comprometerá a segurança do sistema e a confidencialidade dos dados. 
Neste contexto assinale, a opção que cita uma das principais vulnerabilidades exploradas por esse ataque:
	
	
	
	Falta de validação das entradas dos sistemas
	
	
	Arquitetura de Sistemas Distribuídos
	
	
	Esse ataque ocorre exclusivamente no lado do cliente
	
	
	Arquitetura Cliente-Servidor
	
	
	Aplicaçãode Código SQL nos sistemas cliente
	
	
	
	 
		
	
		3.
		Analise as seguintes afirmações relacionadas à Segurança da Informação e os objetivos do controle de acesso:
I. A disponibilidade é uma forma de controle de acesso que permite identificar os usuários legítimos da informação para que lhes possa ser liberado o acesso, quando solicitado.
II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente.
III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que inspeciona uma rede de dentro para fora, identifica e avalia padrões suspeitos que podem identificar um ataque à rede e emite um alarme quando existe a suspeita de uma invasão.
IV. A integridade é uma forma de controle de acesso que evita o acesso de pessoas não autorizadas a informações confidenciais, salvaguardando segredos de negócios e protegendo a privacidade de dados pessoais.
Indique a opção que contenha todas as afirmações verdadeiras.
 
	
	
	
	Somente as afirmações II e III.
	
	
	Somente as afirmações I e III.
	
	
	Somente as afirmações III e IV.
	
	
	Somente as afirmações I e II.
	
	
	Somente as afirmações II e IV.
		1.
		São consideradas ferramentas de desenvolvimento da web, que disponibilizam proteção integrada de script entre sites.
I- ReactJS 
II- Atom
III- Ruby on Rails
IV- Cloud9
Escolha a alternativa correta
 
	
	
	
	Somente as afirmações I e III.
	
	
	Somente as afirmações II e IV.
	
	
	Somente as afirmações I e II.
	
	
	Somente as afirmações II e III.
	
	
	Somente as afirmações III e IV.
	
	
	
	 
		
	
		2.
		Com base em Cross-Site Scripting e Desserialização Insegura, analise as afirmações abaixo:
Ataques de Cross-Site Scripting e Desserialização Insegura estão relacionados, inicialmente, a problemas de configuração de sistemas. 
E
A partir da exploração dessas vulnerabilidades, os invasores fazem ataques aos sistemas para obter acesso indevido.
Assinale a opção correta
	
	
	
	Somente a segunda alternativa está correta.
	
	
	Somente a primeira alternativa está correta.
	
	
	Ambas as alternativas estão corretas e a segunda complementa a primeira.
	
	
	Ambas as alternativas estão incorretas
	
	
	Ambas as alternativas estão corretas, mas a segunda independe da primeira.
	
	
	
	 
		
	
		3.
		Os ataques do tipo cross-site scripting consistem na execução de código malicioso em uma aplicação web que será acessada pelos usuários. Sobre o cross-site scripting, selecione a opção correta:
 
	
	
	
	O invasor insere código sql na entrada da aplicação, modificando seu comportamento
	
	
	Os scripts desse tipo de ataque sempre estão em Java Script, que é um dos motivos dessa linguagem de programação não ser recomendada para desenvolvimento web
	
	
	Trata-se de um ataque bem documentado e, portanto, muito fácil de ser detectado, com raras ocorrências
	
	
	O ataque pode iniciar com a indução do usuário ao erro, através de um ataque Phishing
	
	
	É uma vulnerabilidade que sempre ocorre inicialmente por um ataque DDoS
		1.
		Com base nos ataques a sistemas web, analise as afirmações abaixo:
Sistemas como jogos online, operações bancárias e lojas virtuais estão sujeitos a ataques. 
E
A melhor forma de se proteger contra eles é através de ferramentas que já incorporem medidas protetivas e com o treinamento da equipe de desenvolvimento para um software seguro.
Assinale a opção correta
	
	
	
	Ambas as alternativas estão incorretas
	
	
	Ambas as alternativas estão corretas, mas a segunda independe da primeira.
	
	
	Somente a primeira alternativa está correta.
	
	
	Somente a segunda alternativa está correta.
	
	
	Ambas as alternativas estão corretas e a segunda complementa a primeira.
	
	
	
	 
		
	
		2.
		Por que a Extensibilidade de Código prejudica a segurança dos sistemas?
	
	
	
	Pois fazem o computador ficar mais lento, favorecendo os ataques de DoS/DDoS.
	
	
	Pois permite a instação de módulos criptografados que podem reduzir a privacidade dos usuários.
	
	
	Pois permite a instalação de honeypots quando a extensão estiver ativa.
	
	
	Pois dificulta o funcionamento dos antivírus
	
	
	Pois dificulta a prevenção de que vulnerabilidades sejam inseridas nas extensões.
	
Explicação:
A extensibilidade em si dificulta a prevenção de que vulnerabilidades sejam inseridas na extensão. Um exemplo de uma situação em que isso aconteceu foi com o vírus Melissa (MCGRAW; MORRISETT, 2000).
	
	
	
	 
		
	
		3.
		Com relação a seguinte afirmação:
"A complexidade dos sistemas é uma das características que aumentam as chances dos ataques serem bem-sucedidos". 
Sobre essa afirmação, selecione a opção que justifique a relação entre complexidade e ataques de sistemas:
	
	
	
	A complexidade de um sistema está relacionada à quantidade de operações e os ataques podem se valer disso para torná-los mais lentos
	
	
	A equipe de testes pode remover códigos de testes no sistema na tentativa de aumentar a complexidade do código
	
	
	A complexidade aumenta a dificuldade de identificar a quantidade de cenários que devem ser testados
	
	
	O ataque mais comum relacionado à complexidade dos sistemas é o de negação de serviço
	
	
	Os erros são uma característica intrínseca dos sistemas
		1.
		Serial fishing, aplicação de patches e geração de chaves são técnicas usadas para:
	
	
	
	Quebrar a criptografia de aplicações que trafegam texto, áudio ou vídeo.
	
	
	Inserir malwares dentro de softwares legítimos
	
	
	Capturar dados de usuários, através da rede
	
	
	Quebrar a proteção contra cópia de um software.
	
	
	Detectar softwares crackeados no sistema
	
Explicação:
As técnicas mais comuns para quebrar a proteção contra cópia são:
· Serial fishing
· aplicação de patches
· geração de chaves
	
	
	
	 
		
	
		2.
		Relacione adequadamente as colunas 1 e 2, no que se refere as ferramentas de auditoria.
Coluna 1
1 - ACL (Audit Command Language)
2 - Pentana
3 - TeamMate
Coluna 2
I - Software para planejamento estratégico de auditoria, planejamento de recursos, registro em tempo real, listas e programas de verificação de auditoria automatizados e gerenciamento do plano de ação
II - Pacote eletrônico de papel de trabalho que revolucionou o processo de documentação de auditoria
III - Software de extração e análise de dados
Marque a opção que associa corretamente as colunas 1 e 2
	
	
	
	1 - II; 2 - III; 3 - I; 
	
	
	1 - I; 2 - II; 3 - III; 
	
	
	1 - II; 2 - I; 3 - III; 
	
	
	1 - I; 2 - III; 3 - II; 
	
	
	1 - III; 2 - I; 3 - II;    
	
	
	
	 
		
	
		3.
		Com base em auditoria de software, analise as afirmações abaixo:
As auditorias de engenharia de software devem ser suportadas por um plano documentado, processos e arquivos de log.
E
Dada a complexidade dos sistemas modernos, a utilização de programas voltados para auditoria permite cobrir o espectro de cenários preestabelecidos ao longo do processo.
Assinale a opção correta
	
	
	
	Ambas as alternativas estão corretas, mas a segunda independe da primeira.
	
	
	Ambas as alternativas estão corretas e a segunda complementa a primeira.
	
	
	Somente a primeira alternativa está correta.
	
	
	Somente a segunda alternativa está correta.
	
	
	Ambas as alternativas estão incorretas