Escolar Documentos
Profissional Documentos
Cultura Documentos
ATAQUES E AMEAÇAS
Prof. Esp. Sergio Sierro
ATAQUES E AMEAÇAS:
CONCEITOS BÁSICOS
Ataques passivos são aqueles que não alteram a informação, nem o seu fluxo
normal, no canal sob escuta.
Ataques ativos são os que intervêm no fluxo normal de informação, seja alterando
o seu conteúdo, ou produzindo informação não fidedigna, normalmente com
intuitos de atentar contra a segurança de um sistema.
ATAQUES ZERO-DAY
Ataque zero-day ou de dia zero é o termo usado para descrever uma
vulnerabilidade de segurança desconhecida em um software, ou seja, uma ameaça
que ainda não foi corrigida ou tornada pública.
Um “vírus de dia zero” é usado para descrever um vírus que acabou de ser
descoberto e não é detectado por nenhum software antivírus existente.
VETORES DE AMEAÇA
Um vetor de ataque é um caminho, ou um meio, pelo qual um invasor pode obter
acesso não-autorizado a um computador ou rede.
O malware também pode coletar informações, fornecer acesso ilícito e realizar uma
ampla gama de ações.
RANSOMWARE
O ransomware é um malware que assume o controle de um computador e exige um
resgate.
Age codificando os dados (criptografia) de forma com que o usuário não tenha mais
acesso.
Grupos de bots são conhecidos como botnets, usados para realizar várias ações,
desde comprometimentos e infecções adicionais até ataques de negação de serviço
ou atuando como retransmissores de spam.
BOTS
Muitos sistemas botnet de comando e controle (C&C) operam em modo cliente-
servidor.
São funções ou códigos que são colocados dentro de outros programas que serão
ativados quando as condições definidas forem atendidas.
O vírus também costuma ter um gatilho, que define as condições para quando o
vírus será executado, e uma carga útil, que é o que o vírus faz, entrega ou as ações
que executa.
FILELESS MALWARE
Não depende de arquivos e não deixa rastros, dificultando a detecção e a remoção.
O malware sem arquivo não precisem instalar código para iniciar um ataque.
SPYWARE
Spyware é um malware projetado para obter informações sobre um indivíduo,
organização ou sistema.
Errado. Comentário: Ao realizar o backup com frequência, o usuário garante que possui uma cópia de seus
arquivos, podendo recuperá-los sem necessidade de acessar seus arquivos originais cujo acesso é
impedido pelo ransomware que exige uma quantia em criptomoedas para liberá-lo.
Pelo enunciado da questão vai depender da criptografia usada pelo ransomware. Se for uma criptografia
fraca um bruteforce pode encontrar a chave, mas, em cenários reais, é muito mais provável que esses
malwares usem uma criptografia forte o que torna o ataque de brutefoce inviável.
DIRETO DO CONCURSO
Ano: 2018 Banca: FGV Órgão: Prefeitura de Niterói - RJ Prova: FGV - 2018 - Prefeitura de Niterói - RJ - Analista de
Políticas Públicas e Gestão Governamental - Gestão de Tecnologia
As falhas de segurança em sistemas operacionais ou em aplicativos podem permitir que pessoas não autorizadas
acessem informações de computadores e instalem vírus ou aplicativos de controle sobre máquinas remotas.
Essas falhas de segurança são denominadas
a) DDoS.
b) Keylogging.
c) Backdoor.
d) Phishing.
e) Spyware.
DIRETO DO CONCURSO
Ano: 2018 Banca: FGV Órgão: Prefeitura de Niterói - RJ Prova: FGV - 2018 - Prefeitura de Niterói - RJ - Analista de
Políticas Públicas e Gestão Governamental - Gestão de Tecnologia
As falhas de segurança em sistemas operacionais ou em aplicativos podem permitir que pessoas não autorizadas
acessem informações de computadores e instalem vírus ou aplicativos de controle sobre máquinas remotas.
Essas falhas de segurança são denominadas
a) DDoS.
Comentário: Backdoor é um programa que permite o retorno de um invasor a um computador
b) Keylogging.
comprometido, por meio da inclusão de serviços criados ou modificados para este fim. Pode ser
c) Backdoor. incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador,
d) Phishing. ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no
computador para invadi-lo. Após incluído, o backdoor é usado para assegurar o acesso futuro ao
e) Spyware. computador comprometido, permitindo que ele seja acessado remotamente, sem que haja
necessidade de recorrer novamente aos métodos utilizados na realização da invasão ou infecção e,
na maioria dos casos, sem que seja notado.
ATAQUES E AMEAÇAS:
ENGENHARIA SOCIAL
O objetivo é influenciar os alvos a tomar ações que eles não poderiam ter feito de
outra forma.
ENGENHARIA SOCIAL
Vários princípios-chave são aproveitados para fazer engenharia social de um
indivíduo com sucesso:
Autoridade: baseia-se no fato de que a maioria das pessoas irá obedecer alguém que
parece estar no comando ou conhecedor, independentemente de estar ou não de
fato.
Escassez: o objetivo é fazer algo parecer mais desejável porque pode ser o último
disponível.
Spear phishing (caça às baleias) tem como alvo indivíduos ou grupos específicos em
uma organização na tentativa de coletar informações ou acesso desejados.
CREDENTIAL HARVESTING
A coleta de credenciais geralmente é realizada por meio de ataques de phishing,
mas também pode ser realizada por meio de comprometimento do sistema, para
roubar credenciais ou qualquer outra técnica que colete credenciais para invasores.
Geralmente emprega técnicas de engenharia social para tentar fazer com que os
destinatários abram a mensagem ou cliquem em links dentro dela.
O termo spam está associado ao envio de mensagens para uma grande quantidade
de pessoas.
DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: TCE-SC Prova: CESPE / CEBRASPE - 2022 - TCE-SC - Auditor Fiscal de
Controle Externo - Ciência da Computação
Julgue o item subsequente, a respeito de políticas para o uso de dispositivo móvel.
A ameaça em segurança dos dispositivos móveis da empresa denominada ataques de engenharia social é
caracterizada pelo mau uso dos recursos de rede, dispositivo ou identidade, como, por exemplo, ataques de
negação de serviço.
DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: TCE-SC Prova: CESPE / CEBRASPE - 2022 - TCE-SC - Auditor Fiscal de
Controle Externo - Ciência da Computação
Julgue o item subsequente, a respeito de políticas para o uso de dispositivo móvel.
A ameaça em segurança dos dispositivos móveis da empresa denominada ataques de engenharia social é
caracterizada pelo mau uso dos recursos de rede, dispositivo ou identidade, como, por exemplo, ataques de
negação de serviço.
Comentário: Engenharia social tem a ver com o ato de persuadir e convencer as pessoas. Ou
Errado. seja, é o bom e velho golpe usando a lábia e outros métodos de convencimento. Portanto, tem a
ver com a inocência do usuário.
Ataques de negação de serviço ou DDoS (negação distribuída de serviço), é um ataque onde o
invasor sobrecarrega seu alvo com tráfego de Internet indesejado para que o tráfego normal
não possa atingir o destino pretendido.
DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: Telebras Prova: CESPE / CEBRASPE - 2022 - Telebras - Especialista em
Gestão de Telecomunicações – Engenheiro de Redes
A respeito de ataques em redes e aplicações corporativas, julgue o próximo item.
Uma das técnicas para phishing é a clonagem de sítios de instituições financeiras, com o objetivo de obter as
credenciais de acesso do usuário.
DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: Telebras Prova: CESPE / CEBRASPE - 2022 - Telebras - Especialista em
Gestão de Telecomunicações – Engenheiro de Redes
A respeito de ataques em redes e aplicações corporativas, julgue o próximo item.
Uma das técnicas para phishing é a clonagem de sítios de instituições financeiras, com o objetivo de obter as
credenciais de acesso do usuário.
Certo.
Comentário: Phishing é um termo originado do inglês (fishing) que em computação se trata de um tipo de
roubo de identidade online. Essa ação fraudulenta é caracterizada por tentativas de adquirir ilicitamente
dados pessoais de outra pessoa, sejam senhas, dados financeiros, dados bancários, números de cartões de
crédito ou simplesmente dados pessoais.
DIRETO DO CONCURSO
Ano: 2021 Banca: FGV Órgão: Banestes Prova: FGV - 2021 - Banestes - Analista em Tecnologia da Informação -
Segurança da Informação
Antônio recebeu uma mensagem SMS supostamente enviada pela segurança corporativa, orientando-o a clicar
em um link para atualizar um cadastro. Ao fazê-lo, Antônio cai em um site falso, mas bastante parecido com o da
sua empresa, e fornece dados sigilosos como nome de usuário e senha.
Esse tipo de técnica de engenharia social que se aproveita da confiança depositada por um usuário para roubar
dados é denominado:
a) trojan.
b) phishing.
c) spoofing.
d) backdoor.
e) ransomware.
DIRETO DO CONCURSO
Ano: 2021 Banca: FGV Órgão: Banestes Prova: FGV - 2021 - Banestes - Analista em Tecnologia da Informação -
Segurança da Informação
Antônio recebeu uma mensagem SMS supostamente enviada pela segurança corporativa, orientando-o a clicar
em um link para atualizar um cadastro. Ao fazê-lo, Antônio cai em um site falso, mas bastante parecido com o da
sua empresa, e fornece dados sigilosos como nome de usuário e senha.
Esse tipo de técnica de engenharia social que se aproveita da confiança depositada por um usuário para roubar
dados é denominado:
a) trojan.
b) phishing. Comentário: Phishing é uma técnica de engenharia social usada para enganar usuários e obter
informações confidenciais, como nome de usuário, senha e detalhes do cartão de crédito. São
c) spoofing.
comunicações falsificadas que parecem vir de uma fonte confiável.
d) backdoor.
e) ransomware.
DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: TCE-RJ Prova: CESPE / CEBRASPE - 2021 - TCE-RJ - Analista de
Controle Externo - Especialidade: Tecnologia da Informação
A respeito de segurança em redes de computadores e criptografia, julgue o item seguinte.
Os ataques de phishing caracterizam-se pelo envio de mensagens eletrônicas que despertam a atenção de
usuários por meio da sugestão de vantagens ou ameaças de prejuízos e também por induzirem os usuários a
fornecer dados pessoais e(ou) financeiros.
DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: TCE-RJ Prova: CESPE / CEBRASPE - 2021 - TCE-RJ - Analista de
Controle Externo - Especialidade: Tecnologia da Informação
A respeito de segurança em redes de computadores e criptografia, julgue o item seguinte.
Os ataques de phishing caracterizam-se pelo envio de mensagens eletrônicas que despertam a atenção de
usuários por meio da sugestão de vantagens ou ameaças de prejuízos e também por induzirem os usuários a
fornecer dados pessoais e(ou) financeiros.
Certo.
Comentário: É uma técnica de crime cibernético por meio da engenharia social que usa fraude,
truque, engano, para manipular usuários e obter informações confidenciais como nome de
usuário, senha e detalhes do cartão de crédito. Para cometer as fraudes eletrônicas, os
criminosos utilizam mensagens aparentemente reais.
ATAQUES E AMEAÇAS:
ATAQUES DE SENHA, DE AUTENTICAÇÃO E DE
AUTORIZAÇÃO
Prof. Esp. Sergio Sierro
ATAQUES DE SENHA
Um ataque de senha refere-se a qualquer um dos vários métodos usados para
autenticar maliciosamente em contas protegidas por senha.
Esses ataques geralmente são facilitados pelo uso de software que acelera a quebra
ou adivinhação de senhas.
Ataques de força bruta percorrem as senhas até encontrarem uma que funcione.
Esse método ajuda a evitar regras de bloqueio de conta e é mais difícil de detectar.
É uma forma de ataque de força bruta que tenta usar uma única senha ou um
pequeno conjunto de senhas em várias contas.
DICTIONARY ATTACKS
Os ataques de dicionário tentam adivinhar senhas iterando por meio de senhas
comumente usadas, como palavras encontradas no dicionário e variações simples
delas.
É comum encontrar aplicações que permitem senhas que são: muito curta ou em
branco, palavras de dicionário ou nomes, mesmo que o nome de usuário, ainda
definido para um valor default.
Errado. Comentário: Session hijacking é a exploração de uma sessão de computador válida, às vezes também
chamada de uma chave de sessão - para obter acesso não autorizado a informações ou serviços em um
sistema de computador. Em outras palavras, um invasor intercepta e assume uma sessão legitimamente
estabelecida entre um usuário e um host.
No ataque considerado, não temos uma sessão já estabelecida. Mas sim está havendo um processo de
autenticação para estabelecimento da sessão. E, como o atacante não conhece as credenciais de um usuário
válido, está havendo um ataque de injeção SQL.
DIRETO DO CONCURSO
Ano: 2018 Banca: CESPE / CEBRASPE Órgão: Polícia Federal Prova: CESPE - 2018 - Polícia Federal - Perito Criminal
Federal - Área 3
Softwares desenvolvidos para a Web podem ter diversas vulnerabilidades e cada uma delas pode ser explorada
com uma técnica específica. Sendo o ataque bem-sucedido, o atacante tem o controle do sistema. A respeito de
características de ataques em software web, julgue o próximo item.
O ataque de sequestro de sessão tem por característica o comprometimento do token de autenticação de um
usuário, podendo esse token ser obtido interceptando-se a comunicação ou predizendo-se um token válido.
DIRETO DO CONCURSO
Ano: 2018 Banca: CESPE / CEBRASPE Órgão: Polícia Federal Prova: CESPE - 2018 - Polícia Federal - Perito Criminal
Federal - Área 3
Softwares desenvolvidos para a Web podem ter diversas vulnerabilidades e cada uma delas pode ser explorada
com uma técnica específica. Sendo o ataque bem-sucedido, o atacante tem o controle do sistema. A respeito de
características de ataques em software web, julgue o próximo item.
O ataque de sequestro de sessão tem por característica o comprometimento do token de autenticação de um
usuário, podendo esse token ser obtido interceptando-se a comunicação ou predizendo-se um token válido.
Comentário: Um ataque de sequestro de sessão ocorre quando um invasor utiliza um software de
Certo. monitoramento de rede para capturar o token (muitas vezes um cookie) de autenticação usado para
representar a sessão de um usuário com uma aplicação. Com o cookie capturado, o invasor pode enganar a
sessão do usuário e ganhar acesso à aplicação. O invasor possui nível de privilégios igual ao do usuário
legítimo.
A expressão “predizendo-se um token válido” também é uma forma de se obter o token da vítima: em um
terminal público, por exemplo, caso o último usuário não tenha desfeito seu login na aplicação web, o
atacante poderá usar a aplicação como se fosse este usuário.
ATAQUES E AMEAÇAS:
ATAQUES DE INJEÇÃO
É uma técnica de injeção de código que pode destruir o banco de dados, um código
malicioso é inserido em instruções SQL, via entrada de página da web.
SQL INJECTION
Geralmente ocorre quando é solicitada a entrada de um usuário, como o nome/id
de usuário, e ao invés de fornecer um nome/id de usuário, é fornecido uma
instrução SQL que é executada no banco de dados.
A entrada deve ser validada para garantir que esteja na forma correta que é
esperada antes de usar em uma consulta SQL.
A injeção de LDAP é um ataque usado para explorar aplicativos baseados na web que
constroem instruções LDAP com base na entrada do usuário.
Errado. Comentário: Injeção de SQL (do inglês SQL Injection) é um tipo de ameaça de segurança que se aproveita
de falhas em sistemas que interagem com bases de dados através de comandos SQL, em que o atacante
consegue inserir uma instrução SQL personalizada e indevida dentro de uma consulta (SQL query) através
da entradas de dados de uma aplicação, como formulários ou URL de uma aplicação.
DIRETO DO CONCURSO
Ano: 2022 Banca: FCC Órgão: TJ-CE Prova: FCC – 2022 – TJ-CE – Analista Judiciário – Ciência da Computação –
Sistemas da Informação
Para evitar os efeitos indesejáveis de ataques SQL Injection em aplicações web, uma recomendação correta de
programação segura é
a) não utilizar ferramentas Object Relational Mapping (ORM) como Hibernate, NHibernate ou JPA.
b) utilizar as propriedades security="true" e/ou encode="secure" nos campos de formulários HTML.
c) realizar a validação dos dados de entrada do lado do servidor por meio de whitelists.
d) validar a entrada de dados no cliente, evitando assim qualquer possibilidade de envio de instruções maliciosas
ao servidor.
e) utilizar concatenação de valores nas consultas de dados ao invés de consultas parametrizadas.
DIRETO DO CONCURSO
Comentário: SQL Injection é um tipo de ataque em que se injeta, através de uma entrada de dados do
Ano: 2022 Banca:lado FCCdoÓrgão:
cliente,TJ-CE Prova: SQL
um comando FCCno
– 2022 – TJ-CE
servidor. – Analista
O comando Judiciário
SQL pode – Ciência
ser injetado em umdaespaço
Computação
de um site–
Sistemas da Informação
em que o usuário deve digitar seu login e sua senha.
A letraindesejáveis
Para evitar os efeitos A está ERRADA. Não faz o SQL
de ataques menor sentido em
Injection imaginar que umweb,
aplicações framework como o Hibernate
uma recomendação ou a Java
correta de
programação segura Persistence
é API são capazes de evitar a SQL Injection. O uso destes frameworks, inclusive, aumenta a
segurança do banco de dados, uma vez que eles automatizam o processo de mapeamento entre modelos
a) não utilizar ferramentas
para o modeloObject Relational Mapping (ORM) como Hibernate, NHibernate ou JPA.
relacional.
A letra B está
b) utilizar as propriedades ERRADA. Os atributos
security="true" acima não são listados
e/ou encode="secure" como sendo
nos campos da tag de formulários
de formulários HTML. HTML. Ainda
assim, mesmo com essas atualizações listadas, ainda poderia ser possível injetar código SQL no espaço
c) realizar a validação dos dados de entrada do lado do servidor por meio de whitelists.
para formulário.
d) validar a entrada de dados
A letra no cliente,
C está CERTA. evitando
Quando assim
o usuário qualquer
da maquina possibilidade
cliente de envio
tentar injetar SQL node instruções
campo maliciosas
do formulário cujo
ao servidor. HTML (ou JSON, ou o que quer que seja) será enviado ao servidor. O servidor irá realizar uma validação do
conteúdo enviado através de whitelists (listas brancas), e se a página enviada não pertencer a whitelist, o
e) utilizar concatenação de valores nas consultas de dados ao invés de consultas parametrizadas.
servidor não irá executar.
A letra D está ERRADA. Essa alternativa seria como dizer que as medidas de segurança que evitam a
entrada de um ladrão em uma casa devem ser validadas por qualquer pessoa que deseja entrar na casa,
inclusive pelo próprio ladrão.
A letra E está ERRADA. O que está descrito na alternativa não evita um ataque de SQL Injection.
DIRETO DO CONCURSO
Ano: 2018 Banca: INSTITUTO AOCP Órgão: UFOB Prova: INSTITUTO AOCP – 2018 – UFOB – Analista de Tecnologia
da Informação – Infraestrutura
Ataques costumam ocorrer na internet com diversos objetivos, visando diferentes alvos e usando variadas
técnicas. Qualquer serviço, computador ou rede que seja acessível via internet pode ser alvo de um ataque,
assim como qualquer computador com acesso à internet pode participar de um ataque. Com referência aos
DDoS, DoS, IP spoofing, port scan, session hijacking, buffer overflow, SQL Injection, cross-site scripting, spear
phishing e APT (advanced persistent threat), julgue o item a seguir.
Um lote de instruções SQL é um grupo de duas ou mais instruções SQL separadas por ponto e vírgula. Um ataque
SQL Injection pode ser realizado nesse caso colocando um comando malicioso após uma entrada esperada.
Exemplo: “SELECT * FROM usuario where id =” concatenado à entrada “5; DROP TABLE usuario;”
DIRETO DO CONCURSO
Ano: 2018 Banca: INSTITUTO AOCP Órgão: UFOB Prova: INSTITUTO AOCP – 2018 – UFOB – Analista de Tecnologia
da Informação – Infraestrutura
Ataques costumam ocorrer na internet com diversos objetivos, visando diferentes alvos e usando variadas
técnicas. Qualquer serviço, computador ou rede que seja acessível via internet pode ser alvo de um ataque,
assim como qualquer computador com acesso à internet pode participar de um ataque. Com referência aos
DDoS, DoS, IP spoofing, port scan, session hijacking, buffer overflow, SQL Injection, cross-site scripting, spear
phishing e APT (advanced persistent threat), julgue o item a seguir.
Um lote de instruções SQL é um grupo de duas ou mais instruções SQL separadas por ponto e vírgula. Um ataque
Comentário:
SQL Injection pode As falhas
ser realizado de caso
nesse Injeção, como a injeção
colocando de SQL, malicioso
um comando ocorrem quando dadosentrada
após uma não confiáveis são
esperada.
Exemplo: “SELECTenviados
* FROMpara um interpretador
usuario como parte deà entrada
where id =” concatenado um comando ou consulta.
“5; DROP Os dados manipulados pelo
TABLE usuario;”
atacante podem iludir o interpretador para que este execute comandos indesejados ou permita o acesso a
dados não autorizados.
Certo. Um exemplo de ataque de injeção SQL seria o definido pela questão, no qual a aplicação utiliza dados não
confiáveis na construção da chamada SQL vulnerável. Uma forma de se evitar esses ataques seria validar
as entradas referenciadas que são utilizadas na consulta ou chamada SQL antes de executar o código.
DIRETO DO CONCURSO
Ano: 2022 Banca: FGV Órgão: TJ-DFT Prova: FGV – 2022 – TJ-DFT – Analista Judiciário – Segurança da Informação
A equipe de segurança de um órgão público detectou em seus sistemas de monitoramento a seguinte requisição
em direção a um site do órgão: http://www.site.gov.br/index.php?username=1'%20or%20'1'%20
=%20'1'))/*&password=t&$t3. O tipo e a técnica de ataque detectados são, respectivamente:
a) HTML injection, com o objetivo de alterar a página de login.
b) SQL injection, com o objetivo de bypassar a página de login.
c) SQL injection, com o objetivo de forçar o banco de dados a gerar um erro.
d) Command injection, com o objetivo de realizar a execução de código na página de login.
e) Command injection, com o objetivo de forçar o banco de dados a gerar um erro.
DIRETO DO CONCURSO
Ano: 2022 Banca: FGV Órgão: TJ-DFT Prova: FGV – 2022 – TJ-DFT – Analista Judiciário – Segurança da Informação
A equipe de segurança de um órgão público detectou em seus sistemas de monitoramento a seguinte requisição
em direção a um site do órgão: http://www.site.gov.br/index.php?username=1'%20or%20'1'%20
=%20'1'))/*&password=t&$t3. O tipo e a técnica de ataque detectados são, respectivamente:
a) HTML injection, com o objetivo de alterar a página de login.
b) SQL injection, com o objetivo de bypassar a página de login.
c) SQL injection, com o objetivo de forçar o banco de dados a gerar um erro.
d) Command injection, com oAs
Comentário: objetivo
falhas de
de realizar
Injeção, acomo
execução de código
a injeção de SQL,naocorrem
página de login.dados não confiáveis são
quando
enviados
e) Command injection, compara um interpretador
o objetivo de forçarcomo
o bancoparte
dede um comando
dados a gerar umouerro.
consulta. Os dados manipulados pelo
atacante podem iludir o interpretador para que este execute comandos indesejados ou permita o acesso a
dados não autorizados.
Um exemplo de ataque de injeção SQL seria o definido pela questão, no qual a aplicação utiliza dados não
confiáveis na construção da chamada SQL vulnerável. Uma forma de se evitar esses ataques seria validar
as entradas referenciadas que são utilizadas na consulta ou chamada SQL antes de executar o código.
ATAQUES E AMEAÇAS:
ATAQUES A APLICAÇÕES WEB
A vítima solicita uma página com uma solicitação contendo o payload e o payload
vem embutido na resposta como um script.
Qualquer usuário pode executar o código malicioso sem nenhuma ação específica.
O script é capaz de alterar as propriedades das aplicações que executam estes tipos
de extensões diretamente no navegador, sem necessidade de interação com o
servidor para performar o ataque.
O atacante explora apenas sessões em que o usuário está logado em serviços web.
Se o usuário estiver autenticado no site, o site não terá como distinguir entre a
solicitação forjada enviada pela vítima e uma solicitação legítima enviada pela
vítima.
CROSS-SITE REQUEST FORGERY (CSRF)
DEFACEMENT
Defacement ou deface, é um termo de origem inglesa para o ato de modificar ou
danificar a superfície ou aparência de algum objeto.
Na prática, o usuário só tem acesso a links que são fornecidos pela página do site.
A manipulação de URL pode ser usada para explorar uma série vulnerabilidades de
segurança, incluindo cross-site scripting (XSS), cross-site request forgery (CSRF), e
SQL injection.
DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: PG-DF Prova: CESPE / CEBRASPE - 2021 - PG-DF - Analista Jurídico -
Analista de Sistema - Desenvolvimento de Sistema
Julgue o item que se segue, referente às vulnerabilidade de sistemas computacionais e aos ataques a esses
sistemas.
Em um ataque de execução de script entre sites (XSS), as entradas de dados de um programa interferem no fluxo
de execução desse mesmo programa.
DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: PG-DF Prova: CESPE / CEBRASPE - 2021 - PG-DF - Analista Jurídico -
Analista de Sistema - Desenvolvimento de Sistema
Julgue o item que se segue, referente às vulnerabilidade de sistemas computacionais e aos ataques a esses
sistemas.
Em um ataque de execução de script entre sites (XSS), as entradas de dados de um programa interferem no fluxo
de execução desse mesmo programa.
Errado.
Comentário: O XSS (Cross Site Scripting) é um ataque que pode ser feito na sua forma refletida (Reflected) ou sua
forma persistente (Stored). Trata-se da injeção de um código dentro da tag script (Stored XSS) em algum campo de
input da aplicação (geralmente campos de comentários). Ao efetuar o comentário, a aplicação que contém uma
falha de segurança (tratamento incorreto dos dados de entrada) salva o comentário com o código malicioso
normalmente. Diante disso, não é o ataque XSS quem executa o script, ele apenas injeta o código malicioso no
servidor e este o executa no momento que há a requisição da página afetada.
DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: TCE-RJ Prova: CESPE / CEBRASPE – 2022 – TCE-RJ – Analista de
Controle Externo
Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à
Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.
A característica principal do ataque cross-site scripting (XSS) é que ele é realizado somente de um modo: por
meio do envio de códigos JavaScript pelos formulários de cadastro de uma aplicação web com a finalidade de
manipular as informações no navegador do usuário.
DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: TCE-RJ Prova: CESPE / CEBRASPE – 2022 – TCE-RJ – Analista de
Controle Externo
Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à
Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.
A característica principal do ataque cross-site scripting (XSS) é que ele é realizado somente de um modo: por
meio do envio de códigos JavaScript pelos formulários de cadastro de uma aplicação web com a finalidade de
manipular as informações no navegador do usuário.
Errado. Comentário: O erro da questão é dizer que o XSS só é ativado de um modo, quando na verdade
ele possui três modos de atuação: refletido ou não persistente, baseado em DOM e persistente.
A questão descreve o modo persistente, que, como o próprio nome sugere, é aquele que fica
armazenado na página web, de forma que o usuário pode ser contaminado ao comentar algo na
página, preencher um formulário.
DIRETO DO CONCURSO
Ano: 2022 Banca: FGV Órgão: SEFAZ-AM Prova: FGV - 2022 - SEFAZ-AM - Analista de Tecnologia da Informação da
Fazenda Estadual - Manhã
Um invasor detecta e explora uma vulnerabilidade em um campo de formulário em uma página de uma aplicação
Web e, consegue injetar um script malicioso dentro de uma postagem em uma rede social. Isso possibilita que
qualquer usuário dessa rede social, ao visualizar tal postagem contaminada, tenha a sua máquina infectada pelo
script malicioso, que é executado localmente.
A este ataque é dado o nome de
a) Database Injection.
b) XSRF.
c) XSS em DOM.
d) XSS armazenado.
e) XSS refletido.
DIRETO DO CONCURSO
Ano: 2022 Banca: FGV Órgão: SEFAZ-AM Prova: FGV - 2022 - SEFAZ-AM - Analista de Tecnologia da Informação da
Fazenda Estadual - Manhã
Um invasor detecta e explora uma vulnerabilidade em um campo de formulário em uma página de uma aplicação
Web e, consegue injetar umComentário:
script malicioso dentro
O ataque XSS édeum
uma
dospostagem em uma
mais populares rede social.
e perigosos Isso possibilita
da Internet. Nesse tipoque
de
qualquer usuário dessa redeataque,
social, são
ao visualizar tal postagem
injetados códigos contaminada,
maliciosos tenhacódigos
em sites. Esses a sua máquina infectada
vão permitir pelo
que sejam
script malicioso, que é executado localmente.
roubados cookies de sessão, tokens, entre outros tipos de dados. No geral, os casos envolvem
falhas nas respostas a requisições genéricas com partes do site corrompidos. Por isso, abusa da
A este ataque é dado o nome de
confiança do usuário na página.
a) Database Injection. O cross-site scripting é um tipo de ataque virtual no qual um malware com código malicioso
b) XSRF. que sai de um website “hospedeiro” é injetado em um website anteriormente confiável, daí o
nome cross-site.
c) XSS em DOM. Existem 3 tipos de ataque XSS, a depender da forma como o golpe é organizado. Podem ser do
d) XSS armazenado. tipo refletido, persistente ou baseado em DOM.
e) XSS refletido. O tipo mencionado na questão é o tipo persistente ou armazenado. Ele é considerado o tipo
de ataque XSS mais prejudicial. O XSS armazenado ocorre quando a entrada fornecida pelo
usuário é armazenada e, em seguida, processada em uma página da Web.
DIRETO DO CONCURSO
Ano: 2017 Banca: FCC Órgão: TRT - 24ª REGIÃO (MS) Prova: FCC - 2017 - TRT - 24ª REGIÃO (MS) - Técnico
Judiciário - Área Administrativa
Um Técnico de Informática, ao acessar o site da organização para a qual trabalha, encontrou-o totalmente
desfigurado, com o conteúdo das páginas alterado. Ao buscar razões para este tipo de ataque que viola a
segurança das informações, verificou que um atacante, para desfigurar uma página web, pode:
− explorar erros da aplicação web;
− explorar vulnerabilidades do servidor de aplicação web;
− explorar vulnerabilidades da linguagem de programação ou dos pacotes utilizados no desenvolvimento da
aplicação web;
− invadir o servidor onde a aplicação web está hospedada e alterar diretamente os arquivos que compõem o site;
− furtar senhas de acesso à interface web usada para administração remota.
DIRETO DO CONCURSO
Ano: 2017 Banca: FCC Órgão: TRT - 24ª REGIÃO (MS) Prova: FCC - 2017 - TRT - 24ª REGIÃO (MS) - Técnico
Judiciário - Área Administrativa
O Técnico concluiu, corretamente, que este tipo de ataque é conhecido como
a) inundação UDP.
b) engenharia social.
c) wardriving
d) IP spoofing.
e) Defacement.
DIRETO DO CONCURSO
Ano: 2017 Banca: FCC Órgão: TRT - 24ª REGIÃO (MS) Prova: FCC - 2017 - TRT - 24ª REGIÃO (MS) - Técnico
Judiciário - Área Administrativa
O Técnico concluiu, corretamente, que este tipo de ataque é conhecido como
a) inundação UDP.
b) engenharia social.
c) wardriving
d) IP spoofing.
e) Defacement.
Comentário: Defacement (desfiguração de página ou pichação) é o nome dado a uma técnica que
consiste em alterar o conteúdo de uma página web de um site. Para efetuar a alteração, o
atacante é chamado de defacer.
ATAQUES E AMEAÇAS:
ATAQUES DE REDE
Por não conseguir lidar com as requisições, o sistema não consegue mais
responder, ficando indisponível.
Ataques de esgotamento de recursos são ataques que fazem uso indevido dos
protocolos de comunicação de rede ou enviam pacotes de rede malformados.
DoS (DENIAL OF SERVICE)
Ataques por inundação se caracterizam por enviarem um grande volume de tráfego
ao alvo de modo a congestionar a banda.
Um ataque flood de Ping, SYN e UDP é realizado inundando o sistema alvo com um
número excessivo de solicitações para sobrecarregar e impedir sua funcionalidade
normal.
MAN-IN-THE-MIDDLE
O invasor se posiciona entre duas partes que tentam comunicar-se, intercepta
mensagens enviadas e depois se passa por uma das partes envolvidas.
DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: TCE-RJ Prova: CESPE / CEBRASPE - 2021 - TCE-RJ - Analista de
Controle Externo - Especialidade: Tecnologia da Informação
A respeito de segurança em redes de computadores e criptografia, julgue o item seguinte.
O objetivo principal de um ataque DDoS é invadir bases de dados para coletar informações sensíveis; para isso,
ele realiza a sobrecarga dos recursos do servidor, por meio do envio de excessiva quantidade de requisições ou
por meio da geração de grande tráfego de dados na rede.
DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: TCE-RJ Prova: CESPE / CEBRASPE - 2021 - TCE-RJ - Analista de
Controle Externo - Especialidade: Tecnologia da Informação
A respeito de segurança em redes de computadores e criptografia, julgue o item seguinte.
O objetivo principal de um ataque DDoS é invadir bases de dados para coletar informações sensíveis; para isso,
ele realiza a sobrecarga dos recursos do servidor, por meio do envio de excessiva quantidade de requisições ou
por meio da geração de grande tráfego de dados na rede.
Comentário: Negação de serviço, ou DoS (Denial of Service), é uma técnica pela qual um atacante
Errado. utiliza um computador para tirar de operação um serviço, um computador ou uma rede conectada
à Internet. Quando utilizada de forma coordenada e distribuída, ou seja, quando um conjunto de
computadores é utilizado no ataque, recebe o nome de negação de serviço distribuído, ou DDoS
(Distributed Denial of Service).
O objetivo destes ataques não é invadir e nem coletar informações, mas sim exaurir recursos e
causar indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas que dependem dos
recursos afetados são prejudicadas, pois ficam impossibilitadas de acessar ou realizar as operações
desejadas.
DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: BANRISUL Prova: CESPE / CEBRASPE - 2022 - BANRISUL - Suporte à
Infraestrutura de Tecnologia da Informação
Acerca dos tipos de ataques a redes de computadores, julgue o item subsecutivo.
Chama-se spoofing o tipo de ataque em que se tenta autenticar uma máquina externa desconhecida como sendo
uma máquina da rede interna.
DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: BANRISUL Prova: CESPE / CEBRASPE - 2022 - BANRISUL - Suporte à
Infraestrutura de Tecnologia da Informação
Acerca dos tipos de ataques a redes de computadores, julgue o item subsecutivo.
Chama-se spoofing o tipo de ataque em que se tenta autenticar uma máquina externa desconhecida como sendo
uma máquina da rede interna.
Certo. Comentário: O spoofing é uma falsificação que pode ser utilizada para esse fim. Temos o IP
spoofing, um ataque que serve para mascarar o IP de uma máquina. Sendo assim, pode-se ter o
caso em que uma máquina externa desconhecida pode se passar por uma máquina interna
legítima, inclusive conseguindo se autenticar a rede.
Isso faz com que o tráfego que iria para a máquina legítima seja redirecionado para a máquina
externa, de forma que ela pode roubar os dados da organização.
DIRETO DO CONCURSO
Ano: 2019 Banca: IADES Órgão: AL-GO Prova: IADES - 2019 - AL-GO - Segurança da Informação
Desde a primeira apresentação do SSL em 1994 e a subsequente padronização do TLS, numerosos ataques foram
criados contra esses protocolos.
STALLINGS, W. Cryptography and network security: principles and practice. Londres: Pearson, 2017. Tradução
livre.
Um dos referidos ataques é caracterizado por criar uma pesada carga de processamento em um servidor ao
sobrecarregá-lo com requisições supérfluas. Esse ataque chama-se
a) buffer overflow.
b) spoofing.
c) DOS.
d) BEAST.
e) phishing.
DIRETO DO CONCURSO
Ano: 2019 Banca: IADES Órgão: AL-GO Prova: IADES - 2019 - AL-GO - Segurança da Informação
Desde a primeira apresentação do SSL em 1994 e a subsequente padronização do TLS, numerosos ataques foram
criados contra esses protocolos.
STALLINGS, W. Cryptography and network security: principles and practice. Londres: Pearson, 2017. Tradução
livre.
Um dos referidos ataques é caracterizado por criar uma pesada carga de processamento em um servidor ao
Comentário:
sobrecarregá-lo com requisições Uma negação
supérfluas. de serviço
Esse ataque (DoS - Denial of Service) é qualquer tipo de ataque em que
chama-se
os atacantes tentam impedir que usuários legítimos acessem o serviço. Em um ataque DoS, o
a) buffer overflow. atacante geralmente envia mensagens excessivas solicitando à rede ou servidor para autenticar
b) spoofing. solicitações que possuem endereços de retorno inválidos. A rede ou o servidor não conseguirá
c) DOS. encontrar o endereço de retorno do invasor ao enviar a aprovação de autenticação, fazendo com
que o servidor aguarde antes de fechar a conexão. Quando o servidor fecha a conexão, o invasor
d) BEAST. envia mais mensagens de autenticação com endereços de retorno inválidos. Portanto, o processo
e) phishing. de autenticação e espera do servidor começará novamente, mantendo a rede ou o servidor
ocupado.
DIRETO DO CONCURSO
Ano: 2019 Banca: FCC Órgão: SEMEF Manaus - AM Prova: FCC - 2019 - SEMEF Manaus - AM - Assistente Técnico
de Tecnologia da Informação da Fazenda Municipal - Suporte
Um ataque em redes de computadores foi identificado como sendo o SYN Flood, pois caracterizava-se por
a) esgotar a capacidade de resposta do servidor-alvo pelo envio de muitas requisições PING.
b) inundar o servidor com pacotes UDP SYN para bloquear o acesso ao servidor.
c) esgotar os recursos de buffer de comunicação do servidor-alvo pelo envio de vários TCP SYN.
d) inundar os roteadores com tráfego de pacotes ICMP SYN inutilizando-o.
e) esgotar a banda da rede de computadores com a inundação de pacotes TCP.
DIRETO DO CONCURSO
Ano: 2019 Banca: FCC Órgão: SEMEF Manaus - AM Prova: FCC - 2019 - SEMEF Manaus - AM - Assistente Técnico
de Tecnologia da Informação da Fazenda Municipal - Suporte
Um ataque em redes de computadores foi identificado como sendo o SYN Flood, pois caracterizava-se por
a) esgotar a capacidade de resposta do servidor-alvo pelo envio de muitas requisições PING.
b) inundar o servidor com pacotes UDP SYN para bloquear o acesso ao servidor.
c) esgotar os recursos de buffer de comunicação do servidor-alvo pelo envio de vários TCP SYN.
d) inundar os roteadores com tráfego de pacotes ICMP SYN inutilizando-o.
e) esgotar a banda da rede de computadores com a inundação de pacotes TCP.
Comentário: O ataque SYN Flood consiste em inundar o receptor de requisições “TCP SYN”, que nada mais são do que
pedidos de abertura de conexão. O ataque envia uma série de requisições SYN a um determinado dispositivo, mas, após
receber a confirmação (SYN + ACK), não atende à mensagem final de estabelecimento de conexão (ACK), de forma que a
comunicação fica a meio caminho, mas ativa por algum tempo. Assim, esgotam-se os recursos de buffer do servidor alvo,
que em algum momento estará inundado de requisições às quais não conseguirá atender.