Logo Passei Direto
Buscar

Segurança da Tecnologia da Informação

Outros
Algumas das vulnerabilidades web apresentadas no OWASP Top 10 de 2021 estão apresentadas em:
Injeção, Quebra de Autenticação e Ataque de Força Bruta.
Entidades Externas de XML, desserialização insegura, registro e monitoração insuficientes.
Injeção, Quebra de Criptografia, Força Bruta.
Criptografia de Chave pública, Man-in-the-Middle, Cross-site scripting.
Exposição de dados sensíveis, Man-in-the-Middle, Injeção.
a) Injeção, Quebra de Autenticação e Ataque de Força Bruta.
b) Entidades Externas de XML, desserialização insegura, registro e monitoração insuficientes.
c) Injeção, Quebra de Criptografia, Força Bruta.
d) Criptografia de Chave pública, Man-in-the-Middle, Cross-site scripting.
e) Exposição de dados sensíveis, Man-in-the-Middle, Injeção.
User badge image
Tópicos de Análise e Desenvolvimento de Sistemas

há 2 anos

User badge image
Tópicos de Análise e Desenvolvimento de Sistemas

há 2 anos

Vulnerabilidades de Segurança
10 pág.

Vulnerabilidades de Segurança

ESTÁCIO EAD

Respostas

User badge image

Ed Verified user icon

há 6 meses

Para identificar as vulnerabilidades web apresentadas no OWASP Top 10 de 2021, vamos analisar as opções: a) Injeção, Quebra de Autenticação e Ataque de Força Bruta. - "Injeção" e "Quebra de Autenticação" estão no OWASP Top 10, mas "Ataque de Força Bruta" não é uma categoria específica. b) Entidades Externas de XML, desserialização insegura, registro e monitoração insuficientes. - Todas essas vulnerabilidades estão listadas no OWASP Top 10 de 2021. c) Injeção, Quebra de Criptografia, Força Bruta. - "Injeção" está presente, mas "Quebra de Criptografia" e "Força Bruta" não são categorias específicas do OWASP Top 10. d) Criptografia de Chave pública, Man-in-the-Middle, Cross-site scripting. - "Cross-site scripting" está no OWASP, mas "Criptografia de Chave pública" e "Man-in-the-Middle" não são categorias do Top 10. e) Exposição de dados sensíveis, Man-in-the-Middle, Injeção. - "Exposição de dados sensíveis" e "Injeção" estão no OWASP, mas "Man-in-the-Middle" não é uma categoria do Top 10. A opção que apresenta vulnerabilidades que estão de fato no OWASP Top 10 de 2021 é: b) Entidades Externas de XML, desserialização insegura, registro e monitoração insuficientes.

Essa resposta te ajudou?

0
Dislike0
left-side-bubbles-backgroundright-side-bubbles-background

Crie sua conta grátis para liberar essa resposta. 🤩

Já tem uma conta?

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

User badge image

Ed Verified user icon

há 2 anos

Analisando as opções apresentadas, a alternativa correta é: a) Injeção, Quebra de Autenticação e Ataque de Força Bruta.

Essa resposta te ajudou?

0
Dislike1

Ainda com dúvidas?

Envie uma pergunta e tenha sua dúvida de estudo respondida!

Essa pergunta também está no material:

Vulnerabilidades de Segurança
10 pág.

Vulnerabilidades de Segurança

ESTÁCIO EAD

Mais perguntas desse material

Um dos motivos para se realizar o correto registro de eventos e monitoramento está apresentado a seguir:
Diminuir a superfície de ataques às vulnerabilidades de entidades externas de XML
Identificar quando um ataque de força bruta ocorreu
Dificultar o uso de dicionário em ataques de força bruta
Evitar que aconteçam casos de injeção nas aplicações web
Prevenir ataques de força bruta
a) Diminuir a superfície de ataques às vulnerabilidades de entidades externas de XML
b) Identificar quando um ataque de força bruta ocorreu
c) Dificultar o uso de dicionário em ataques de força bruta
d) Evitar que aconteçam casos de injeção nas aplicações web
e) Prevenir ataques de força bruta

Uma forma de explorar a vulnerabilidade de quebra de autenticação é realizar um ataque de força bruta. Existem diversas formas de se realizar este ataque de força bruta. Assinale a alternativa correta para um ataque de força bruta em que se conhece o usuário e queremos descobrir a senha do mesmo:
O ataque de força bruta a ser realizado deve testar todos os possíveis caracteres para senhas de todos os tamanhos possíveis para ter sucesso.
a) O ataque de força bruta por dicionário explora além da vulnerabilidade de quebra de autenticação, o fato de usuários comumente utilizarem senhas fracas de serem deduzidas.
b) A lista de senhas deve ter no máximo 10.000 senhas para que não sobrecarregue o sistema web. Esta é uma limitação comum do ataque de força bruta.
c) O ataque de força bruta a ser realizado deve testar todos os possíveis caracteres para senhas de todos os tamanhos possíveis para ter sucesso.
d) O ataque de força bruta terá sucesso ainda que se use um mecanismo de autenticação multifator.
e) A análise de uma requisição de autenticação é interessante pois ela pode fornecer uma estimativa do número máximo de senhas a ser utilizado no dicionário de senhas do nosso ataque.

Considere uma ferramenta do Burp Suite devidamente configurada e funcionando como proxy entre o navegador do cliente e o servidor web. Em uma injeção de SQL, a ferramenta Burp Suite é utilizada para:
Realizar a replicação de uma requisição, ou seja, ela recebe uma requisição do navegador cliente e, em seguida, possibilita que esta mesma requisição seja enviada para o servidor.
Guardar todas as requisições e respostas entre o servidor e cliente e, em seguida, após análise das mesmas, realizar automaticamente uma Injeção de SQL.
Permitir que, a partir de uma requisição, se possa gerar uma sequência de requisições iguais, exceto por um campo que será incrementado, o Burp Suite já realiza a Injeção de SQL.
Interceptar uma requisição do cliente com um validador Javascript e, em seguida, permitir que os campos enviados na requisição sejam alterados, tornando sem efeito qualquer validação que o Javascript executando no navegador cliente tenha imposto.
O Burp Suite, de fato, ao realizar a interceptação da requisição, não colabora para o ataque de Injeção de SQL, pois este deve sempre ser feito no navegador do cliente.
a) Realizar a replicação de uma requisição, ou seja, ela recebe uma requisição do navegador cliente e, em seguida, possibilita que esta mesma requisição seja enviada para o servidor.
b) Guardar todas as requisições e respostas entre o servidor e cliente e, em seguida, após análise das mesmas, realizar automaticamente uma Injeção de SQL.
c) Permitir que, a partir de uma requisição, se possa gerar uma sequência de requisições iguais, exceto por um campo que será incrementado, o Burp Suite já realiza a Injeção de SQL.
d) Interceptar uma requisição do cliente com um validador Javascript e, em seguida, permitir que os campos enviados na requisição sejam alterados, tornando sem efeito qualquer validação que o Javascript executando no navegador cliente tenha imposto.
e) O Burp Suite, de fato, ao realizar a interceptação da requisição, não colabora para o ataque de Injeção de SQL, pois este deve sempre ser feito no navegador do cliente.

Um usuário observa que, durante a utilização de uma aplicação web, já autenticado, o seguinte conteúdo existe em um COOKIE armazenado pelo seu navegador:
Um objeto da classe Usuário foi serializado e possui apenas 3 atributos: login, perfil e comum.
Um objeto da classe Usuário foi serializado e armazenado no arquivo de COOKIE utilizando a linguagem Java.
Um objeto da classe Usuário foi serializado e o atributo perfil possui o valor comum.
a) Um objeto da classe Usuário foi serializado e possui apenas 3 atributos: login, perfil e comum.
b) Um objeto da classe Usuário foi serializado e armazenado no arquivo de COOKIE utilizando a linguagem Java.
c) Um objeto da classe Usuário foi serializado e 7 objetos Usuários foram definidos.
d) Um objeto da classe Usuário foi serializado e o atributo perfil possui o valor comum.
e) Nenhuma das alternativas anteriores.

Com relação à vulnerabilidade de Injeção, assinale a alternativa correta:
A vulnerabilidade de injeção é genérica e, conforme a tecnologia do servidor a ser explorada, poderá se chamar Injeção de SQL, Injeção de Comando, Injeção de LDAP e assim por diante.
Aplicações web mais antigas são menos suscetíveis à Injeção de SQL do que aplicações mais modernas.
Para explorar uma injeção de comando, o invasor não precisa conhecer os comandos do sistema operacional onde se encontra instalado o servidor web.
Uma forma de evitar uma Injeção de SQL é adicionar, na string do comando SQL, parênteses antes e depois do valor de cada campo recebido da requisição web (por GET ou por POST).
Uma forma relativamente simples de evitar a Injeção em aplicações web é o uso de um firewall de rede.
a) A vulnerabilidade de injeção é genérica e, conforme a tecnologia do servidor a ser explorada, poderá se chamar Injeção de SQL, Injeção de Comando, Injeção de LDAP e assim por diante.
b) Aplicações web mais antigas são menos suscetíveis à Injeção de SQL do que aplicações mais modernas.
c) Para explorar uma injeção de comando, o invasor não precisa conhecer os comandos do sistema operacional onde se encontra instalado o servidor web.
d) Uma forma de evitar uma Injeção de SQL é adicionar, na string do comando SQL, parênteses antes e depois do valor de cada campo recebido da requisição web (por GET ou por POST).
e) Uma forma relativamente simples de evitar a Injeção em aplicações web é o uso de um firewall de rede.

Na página de autenticação de uma aplicação Web, os campos Username e Password são preenchidos e passados diretamente (sem validação) para compor o comando SQL a ser executado pelo gerenciador de banco de dados. Sabendo que o usuário preencheu o campo Username com carlos e a Password com qwerty e que o comando SQL executado é: SELECT * FROM users WHERE name=('carlos') and password=('querty')
Um objeto da classe Usuário foi serializado e possui apenas 3 atributos: login, perfil e comum.
Um objeto da classe Usuário foi serializado e armazenado no arquivo de COOKIE utilizando a linguagem Java.
Um objeto da classe Usuário foi serializado e o atributo perfil possui o valor comum.
a) Um objeto da classe Usuário foi serializado e possui apenas 3 atributos: login, perfil e comum.
b) Um objeto da classe Usuário foi serializado e armazenado no arquivo de COOKIE utilizando a linguagem Java.
c) Um objeto da classe Usuário foi serializado e 7 objetos Usuários foram definidos.
d) Um objeto da classe Usuário foi serializado e o atributo perfil possui o valor comum.
e) Nenhuma das alternativas anteriores.

Mais conteúdos dessa disciplina