Baixe o app para aproveitar ainda mais
Prévia do material em texto
Atividades 1. Quando o ataque de Injeção é bem-sucedido, ele compromete a segurança do sistema e a confidencialidade dos dados. Selecione a opção correta de uma das principais vulnerabilidades exploradas por esse ataque: a)Desenvolvimento de Sistemas Web; b) Falta de validação das entradas dos sistemas; c) Arquitetura Cliente-Servidor; d) Aplicação de Código SQL nos sistemas cliente; e) Não utilizar sistemas antivírus. Gabarito Parabéns! Você acertou! letra b. O ataque de Injeção de código explora a vulnerabilidade de falta de validação da entrada dos dados, pois, desse modo, o invasor pode tentar inserir um código SQL, por exemplo. Se for bem sucedido, pode mudar o comportamento do programa e, portanto, comprometer a segurança do sistema e dos dados. 2. Uma das vulnerabilidades mencionadas na lista da OWASP é a de Entidades Externas de XML. É uma vulnerabilidade que demanda bastante atenção, pois muitas aplicações modernas fazem uso dela. Selecione a opção correta que apresenta como o invasor explora essa vulnerabilidade: a) Analisadores com má configuração fazem o processamento de entidades xml; b) Entidades xml são inseridas no código através da entrada de dados dos sistemas; c) Essa vulnerabilidade é característica exclusivamente de aplicações web; d) A principal dificuldade de detecção dessa vulnerabilidade é a falta de ferramentas de suporte; e) É uma vulnerabilidade que raramente ocorre. Ela está na lista como uma recomendação para o desenvolvedor. Gabarito Parabéns! Você acertou! letra a. Muitas aplicações fazem uso de entidades xml, em especial, como gerenciadores de arquivos de dependências. Os invasores se valem da dificuldade de configurar os analisadores de arquivos xml para tentar obter informações sobre a aplicação e comprometer sua segurança. 3. Uma das vulnerabilidades mencionadas na lista da OWASP é a de Entidades Externas de XML. Selecione a opção correta que corresponde ao modo como é realizado o ataque de uma entidade externa: a) A partir de programas escritos na linguagem Java Script, que é o padrão de programação na web; b) O ataque ocorre através da inserção de código sql nas entradas escritas em html sem o devido tratamento; c) O ataque ocorre buscando dados da Internet; d) É feita uma busca dos dados internos da vítima; e) Esse ataque ocorre exclusivamente no lado do cliente. Gabarito Parabéns! Você acertou! letra d. A vulnerabilidade de entidades externas XML possibilita que ataques de injeção de entidade externa XML (também conhecida como XXE) interfiram no processamento de dados XML de uma aplicação. O invasor pode visualizar arquivos no sistema de arquivos do servidor de aplicações e interagir com qualquer sistema back-end ou externo que a própria aplicação acesse.
Compartilhar