1. Utilizar sessões seguras e expirar sessões após período inativo para prevenir ataques de quebra de sessão.
2. O ataque Directory Traversal explora acessos a diretórios fora da aplicação através da navegação de "..". Deve-se validar entradas para evitar este ataque.
3. A autenticação multifator aumenta a segurança ao exigir mais de um fator, como senha e token. Isso dificulta acessos não autorizados, por exemplo, com senha e SMS.
Descrição original:
Avaliação Auditoria de Segurança Em Aplicações Web EAD
Título original
Avaliação Auditoria de Segurança Em Aplicações Web EAD
1. Utilizar sessões seguras e expirar sessões após período inativo para prevenir ataques de quebra de sessão.
2. O ataque Directory Traversal explora acessos a diretórios fora da aplicação através da navegação de "..". Deve-se validar entradas para evitar este ataque.
3. A autenticação multifator aumenta a segurança ao exigir mais de um fator, como senha e token. Isso dificulta acessos não autorizados, por exemplo, com senha e SMS.
1. Utilizar sessões seguras e expirar sessões após período inativo para prevenir ataques de quebra de sessão.
2. O ataque Directory Traversal explora acessos a diretórios fora da aplicação através da navegação de "..". Deve-se validar entradas para evitar este ataque.
3. A autenticação multifator aumenta a segurança ao exigir mais de um fator, como senha e token. Isso dificulta acessos não autorizados, por exemplo, com senha e SMS.
1. Cite 2 formas de preveno contra ataques de quebra de sesso.
2. Explique como funciona o ataque chamado Directory Traversal e que tipo de medidas devem ser feitas para evit-lo. 3. Por que utilizar Autenticao de Multifator? D 2 exemplos. 4. Como mensagens de erro de autenticao podem ser utilizadas para enumerar usurios vlidos de uma aplicao web? 5. Qual a diferena entre um ataque de Cross Site Scripting (XSS) e uma vulnerabilidade de Cross Site Request Forgery (CSRF)? 6. Cite passo-a-passo como verificar se uma aplicao vulnervel a ataques de SQL Injection atravs de uma requisio POST. (Dica: utilize o sqlmap) 7. Diga quais mtodos HTTP so perigosos para a segurana. Por que? 8. Para que servem as ferramentas Tamper Data e Firebug? 9. Qual a diferena de uma falha de autenticao para uma falha de autorizao? 10. Defina whitelist e diga qual a maior dificuldade de sua implementao para tratar entradas de usurios.