Segurança no Deselvolvimento de Software #

Prévia do material em texto

Avaliação de aprendizagem 
1 
Notas: 5 
Marque a alternativa correta em relação aos testes de caixa branca e caixa 
preta. 
Escolha uma resposta. 
 
a. A vantagem da metodologia caixa preta está na sua 
simplicidade, pois nenhum conhecimento da lógica interna 
da aplicação é necessário. 
 
 
b. Uma desvantagem dos testes de caixa branca é não 
conseguir apontar precisamente onde o erro ocorreu. 
 
 
c. Por meio do teste de caixa branca, conhecido 
como análise dinâmica, o código-fonte da aplicação é 
analisado em busca de erros no comportamento da 
aplicação em execução. 
 
 
d. Dentre os recursos necessários para realizar testes de 
caixa preta estão: os arquivos de configuração da aplicação, 
os casos de uso, de abuso e o código-fonte. 
 
Opção correta. 
Correto 
Notas relativas a este envio: 5/5. 
Question2 
Notas: 5 
O ______________ e o ______________ são duas técnicas de testes de caixa 
preta, sendo que elas atuam de modo ______________ e ______________, 
respectivamente. O modo passivo é realizado durante a primeira etapa dos 
testes de invasão, chamada de ______________, que servirá de base para a 
etapa de ______________ do sistema. 
Escolha uma resposta. 
 
a. escaneamento de vulnerabilidades; fuzzing; promíscuo; 
passivo; reconhecimento; remoção de evidências. 
 
b. fuzzing; teste de invasão; passivo; ativo; identificação; 
reconhecimento. 
 
 
c. escaneamento de vulnerabilidades; teste de invasão; 
passivo; ativo; reconhecimento; exploração. 
 
 
d. teste de invasão; escaneamento de vulnerabilidades; 
passivo; ativo; exploração; remoção de evidências. 
 
Opção correta. 
Correto 
Notas relativas a este envio: 5/5. 
Question3 
Notas: 5 
Identifique a vulnerabilidade que não pode ser encontrada por meio dos testes 
do mecanismo de entrada de dados. 
Escolha uma resposta. 
 
a. Cross site scripting. 
 
b. Injeção de código. 
 
c. Criptografia insegura. 
 
 
d. Buffer overflow. 
Opção correta. 
Correto 
Notas relativas a este envio: 5/5. 
Question4 
Notas: 5 
Marque a alternativa correta em relação aos métodos de validação whitelist e 
blacklist. 
Escolha uma resposta. 
 
a. O uso das abordagens whitelist e blacklist são 
incompatíveis, ou seja, não podem ser utilizadas 
simultaneamente para validação de dados. 
 
 
b. A vantagem da abordagem de blacklist é o baixo número 
de falsos negativos que ela proporciona. 
 
 
c. A desvantagem da abordagem whitelist é ter que 
atualizar constantemente a lista devido ao surgimento de 
novos ataques a cada dia. 
 
 
d. É um desafio para as duas abordagens definir uma lista 
que permita somente os dados legítimos (no caso da 
whitelist) ou que abranja todos os casos de entrada/saída 
maliciosos (no caso da blacklist). 
 
Opção correta. 
Correto 
Notas relativas a este envio: 5/5. 
Question5 
Notas: 5 
Para identificar o tratamento adequado de buffer overflow é necessário realizar 
os seguintes casos de teste: 
Escolha uma resposta. 
 
a. Análise das consultas (queries) construídas 
dinamicamente. 
 
 
b. Verificação do tamanho limite dos recursos de 
memória. 
 
 
c. Identificar patches de segurança. 
 
d. Validação do algoritmo de encoding. 
Opção correta. 
Correto 
Notas relativas a este envio: 5/5.