Logo Passei Direto
Buscar

Segurança da Tecnologia da Informação

Outros
Considere uma ferramenta do Burp Suite devidamente configurada e funcionando como proxy entre o navegador do cliente e o servidor web. Em uma injeção de SQL, a ferramenta Burp Suite é utilizada para:
Realizar a replicação de uma requisição, ou seja, ela recebe uma requisição do navegador cliente e, em seguida, possibilita que esta mesma requisição seja enviada para o servidor.
Guardar todas as requisições e respostas entre o servidor e cliente e, em seguida, após análise das mesmas, realizar automaticamente uma Injeção de SQL.
Permitir que, a partir de uma requisição, se possa gerar uma sequência de requisições iguais, exceto por um campo que será incrementado, o Burp Suite já realiza a Injeção de SQL.
Interceptar uma requisição do cliente com um validador Javascript e, em seguida, permitir que os campos enviados na requisição sejam alterados, tornando sem efeito qualquer validação que o Javascript executando no navegador cliente tenha imposto.
O Burp Suite, de fato, ao realizar a interceptação da requisição, não colabora para o ataque de Injeção de SQL, pois este deve sempre ser feito no navegador do cliente.
a) Realizar a replicação de uma requisição, ou seja, ela recebe uma requisição do navegador cliente e, em seguida, possibilita que esta mesma requisição seja enviada para o servidor.
b) Guardar todas as requisições e respostas entre o servidor e cliente e, em seguida, após análise das mesmas, realizar automaticamente uma Injeção de SQL.
c) Permitir que, a partir de uma requisição, se possa gerar uma sequência de requisições iguais, exceto por um campo que será incrementado, o Burp Suite já realiza a Injeção de SQL.
d) Interceptar uma requisição do cliente com um validador Javascript e, em seguida, permitir que os campos enviados na requisição sejam alterados, tornando sem efeito qualquer validação que o Javascript executando no navegador cliente tenha imposto.
e) O Burp Suite, de fato, ao realizar a interceptação da requisição, não colabora para o ataque de Injeção de SQL, pois este deve sempre ser feito no navegador do cliente.
User badge image
Tópicos de Análise e Desenvolvimento de Sistemas

há 2 anos

User badge image
Tópicos de Análise e Desenvolvimento de Sistemas

há 2 anos

Vulnerabilidades de Segurança
10 pág.

Vulnerabilidades de Segurança

ESTÁCIO EAD

Respostas

User badge image

Ed Verified user icon

há 6 meses

Vamos analisar cada uma das alternativas em relação ao uso do Burp Suite em um ataque de injeção de SQL: a) Realizar a replicação de uma requisição, ou seja, ela recebe uma requisição do navegador cliente e, em seguida, possibilita que esta mesma requisição seja enviada para o servidor. - Esta opção descreve uma funcionalidade do Burp Suite, mas não aborda diretamente a injeção de SQL. b) Guardar todas as requisições e respostas entre o servidor e cliente e, em seguida, após análise das mesmas, realizar automaticamente uma Injeção de SQL. - O Burp Suite pode armazenar requisições e respostas, mas não realiza automaticamente injeções de SQL. A análise é feita pelo usuário. c) Permitir que, a partir de uma requisição, se possa gerar uma sequência de requisições iguais, exceto por um campo que será incrementado, o Burp Suite já realiza a Injeção de SQL. - O Burp Suite permite a manipulação de requisições, mas a injeção de SQL deve ser feita manualmente pelo usuário. d) Interceptar uma requisição do cliente com um validador Javascript e, em seguida, permitir que os campos enviados na requisição sejam alterados, tornando sem efeito qualquer validação que o Javascript executando no navegador cliente tenha imposto. - Esta opção é válida, pois o Burp Suite pode interceptar requisições e permitir a modificação de dados, contornando validações. e) O Burp Suite, de fato, ao realizar a interceptação da requisição, não colabora para o ataque de Injeção de SQL, pois este deve sempre ser feito no navegador do cliente. - Esta afirmação é incorreta, pois o Burp Suite é uma ferramenta que auxilia na realização de testes de segurança, incluindo injeções de SQL. Após essa análise, a alternativa que melhor descreve a função do Burp Suite em um ataque de injeção de SQL é a d), pois ela aborda a interceptação e a modificação de requisições, que são essenciais para esse tipo de ataque.

Essa resposta te ajudou?

0
Dislike0
left-side-bubbles-backgroundright-side-bubbles-background

Crie sua conta grátis para liberar essa resposta. 🤩

Já tem uma conta?

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

User badge image

Ed Verified user icon

há 2 anos

Vamos analisar as opções: a) Realizar a replicação de uma requisição, ou seja, ela recebe uma requisição do navegador cliente e, em seguida, possibilita que esta mesma requisição seja enviada para o servidor. b) Guardar todas as requisições e respostas entre o servidor e cliente e, em seguida, após análise das mesmas, realizar automaticamente uma Injeção de SQL. c) Permitir que, a partir de uma requisição, se possa gerar uma sequência de requisições iguais, exceto por um campo que será incrementado, o Burp Suite já realiza a Injeção de SQL. d) Interceptar uma requisição do cliente com um validador Javascript e, em seguida, permitir que os campos enviados na requisição sejam alterados, tornando sem efeito qualquer validação que o Javascript executando no navegador cliente tenha imposto. e) O Burp Suite, de fato, ao realizar a interceptação da requisição, não colabora para o ataque de Injeção de SQL, pois este deve sempre ser feito no navegador do cliente. A opção correta é a letra c) Permitir que, a partir de uma requisição, se possa gerar uma sequência de requisições iguais, exceto por um campo que será incrementado, o Burp Suite já realiza a Injeção de SQL.

Essa resposta te ajudou?

0
Dislike0

Ainda com dúvidas?

Envie uma pergunta e tenha sua dúvida de estudo respondida!

Essa pergunta também está no material:

Vulnerabilidades de Segurança
10 pág.

Vulnerabilidades de Segurança

ESTÁCIO EAD

Mais perguntas desse material

Um dos motivos para se realizar o correto registro de eventos e monitoramento está apresentado a seguir:
Diminuir a superfície de ataques às vulnerabilidades de entidades externas de XML
Identificar quando um ataque de força bruta ocorreu
Dificultar o uso de dicionário em ataques de força bruta
Evitar que aconteçam casos de injeção nas aplicações web
Prevenir ataques de força bruta
a) Diminuir a superfície de ataques às vulnerabilidades de entidades externas de XML
b) Identificar quando um ataque de força bruta ocorreu
c) Dificultar o uso de dicionário em ataques de força bruta
d) Evitar que aconteçam casos de injeção nas aplicações web
e) Prevenir ataques de força bruta

Uma forma de explorar a vulnerabilidade de quebra de autenticação é realizar um ataque de força bruta. Existem diversas formas de se realizar este ataque de força bruta. Assinale a alternativa correta para um ataque de força bruta em que se conhece o usuário e queremos descobrir a senha do mesmo:
O ataque de força bruta a ser realizado deve testar todos os possíveis caracteres para senhas de todos os tamanhos possíveis para ter sucesso.
a) O ataque de força bruta por dicionário explora além da vulnerabilidade de quebra de autenticação, o fato de usuários comumente utilizarem senhas fracas de serem deduzidas.
b) A lista de senhas deve ter no máximo 10.000 senhas para que não sobrecarregue o sistema web. Esta é uma limitação comum do ataque de força bruta.
c) O ataque de força bruta a ser realizado deve testar todos os possíveis caracteres para senhas de todos os tamanhos possíveis para ter sucesso.
d) O ataque de força bruta terá sucesso ainda que se use um mecanismo de autenticação multifator.
e) A análise de uma requisição de autenticação é interessante pois ela pode fornecer uma estimativa do número máximo de senhas a ser utilizado no dicionário de senhas do nosso ataque.

Um usuário observa que, durante a utilização de uma aplicação web, já autenticado, o seguinte conteúdo existe em um COOKIE armazenado pelo seu navegador:
Um objeto da classe Usuário foi serializado e possui apenas 3 atributos: login, perfil e comum.
Um objeto da classe Usuário foi serializado e armazenado no arquivo de COOKIE utilizando a linguagem Java.
Um objeto da classe Usuário foi serializado e o atributo perfil possui o valor comum.
a) Um objeto da classe Usuário foi serializado e possui apenas 3 atributos: login, perfil e comum.
b) Um objeto da classe Usuário foi serializado e armazenado no arquivo de COOKIE utilizando a linguagem Java.
c) Um objeto da classe Usuário foi serializado e 7 objetos Usuários foram definidos.
d) Um objeto da classe Usuário foi serializado e o atributo perfil possui o valor comum.
e) Nenhuma das alternativas anteriores.

Algumas das vulnerabilidades web apresentadas no OWASP Top 10 de 2021 estão apresentadas em:
Injeção, Quebra de Autenticação e Ataque de Força Bruta.
Entidades Externas de XML, desserialização insegura, registro e monitoração insuficientes.
Injeção, Quebra de Criptografia, Força Bruta.
Criptografia de Chave pública, Man-in-the-Middle, Cross-site scripting.
Exposição de dados sensíveis, Man-in-the-Middle, Injeção.
a) Injeção, Quebra de Autenticação e Ataque de Força Bruta.
b) Entidades Externas de XML, desserialização insegura, registro e monitoração insuficientes.
c) Injeção, Quebra de Criptografia, Força Bruta.
d) Criptografia de Chave pública, Man-in-the-Middle, Cross-site scripting.
e) Exposição de dados sensíveis, Man-in-the-Middle, Injeção.

Com relação à vulnerabilidade de Injeção, assinale a alternativa correta:
A vulnerabilidade de injeção é genérica e, conforme a tecnologia do servidor a ser explorada, poderá se chamar Injeção de SQL, Injeção de Comando, Injeção de LDAP e assim por diante.
Aplicações web mais antigas são menos suscetíveis à Injeção de SQL do que aplicações mais modernas.
Para explorar uma injeção de comando, o invasor não precisa conhecer os comandos do sistema operacional onde se encontra instalado o servidor web.
Uma forma de evitar uma Injeção de SQL é adicionar, na string do comando SQL, parênteses antes e depois do valor de cada campo recebido da requisição web (por GET ou por POST).
Uma forma relativamente simples de evitar a Injeção em aplicações web é o uso de um firewall de rede.
a) A vulnerabilidade de injeção é genérica e, conforme a tecnologia do servidor a ser explorada, poderá se chamar Injeção de SQL, Injeção de Comando, Injeção de LDAP e assim por diante.
b) Aplicações web mais antigas são menos suscetíveis à Injeção de SQL do que aplicações mais modernas.
c) Para explorar uma injeção de comando, o invasor não precisa conhecer os comandos do sistema operacional onde se encontra instalado o servidor web.
d) Uma forma de evitar uma Injeção de SQL é adicionar, na string do comando SQL, parênteses antes e depois do valor de cada campo recebido da requisição web (por GET ou por POST).
e) Uma forma relativamente simples de evitar a Injeção em aplicações web é o uso de um firewall de rede.

Na página de autenticação de uma aplicação Web, os campos Username e Password são preenchidos e passados diretamente (sem validação) para compor o comando SQL a ser executado pelo gerenciador de banco de dados. Sabendo que o usuário preencheu o campo Username com carlos e a Password com qwerty e que o comando SQL executado é: SELECT * FROM users WHERE name=('carlos') and password=('querty')
Um objeto da classe Usuário foi serializado e possui apenas 3 atributos: login, perfil e comum.
Um objeto da classe Usuário foi serializado e armazenado no arquivo de COOKIE utilizando a linguagem Java.
Um objeto da classe Usuário foi serializado e o atributo perfil possui o valor comum.
a) Um objeto da classe Usuário foi serializado e possui apenas 3 atributos: login, perfil e comum.
b) Um objeto da classe Usuário foi serializado e armazenado no arquivo de COOKIE utilizando a linguagem Java.
c) Um objeto da classe Usuário foi serializado e 7 objetos Usuários foram definidos.
d) Um objeto da classe Usuário foi serializado e o atributo perfil possui o valor comum.
e) Nenhuma das alternativas anteriores.

Mais conteúdos dessa disciplina