Escolar Documentos
Profissional Documentos
Cultura Documentos
01/12/2022 19:33
A
Nome: Matrícula: ________________
É proibido o uso de equipamentos eletrônicos portáteis e consulta a materiais de qualquer natureza durante a realização da prova.
Boa prova.
1. _______ de 1,00
2. _______ de 1,00
NDA
1. Malware
2. Ransomware
3. Spyware
4. Eng. Social
5. Pentest
1. HTTPS
2. Eng.Social
3. Spyware
4. Phishing
5. DDoS
1. Malware
2. Ransomware
3. Spyware
4. Phishing
5. Android e Windows
1. Malware
2. Ransomware
3. Spyware
4. Phishing
5. DDoS
3. _______ de 1,00
OWASP basicamente significa Open Web Application Security Project , é uma comunidade online global sem fins
lucrativos composta por dezenas de milhares de membros e centenas de capítulos que produz artigos, documentação,
ferramentas e tecnologias no campo da segurança de aplicativos da web.
NDA
1. Injeção
2. Autenticação Quebrada
3. Exposição de dados sensíveis
4. Entidades externas XML (XXE)
5. Controle de acesso quebrado
6. Configurações incorretas de segurança
7. Cross-Site Scripting (XSS)
8. Desserialização Insegura
9. Usando componentes com vulnerabilidades conhecidas
10. Registro e monitoramento insuficientes.
1. Injeção
2. Autenticação Quebrada
3. Exposição de dados sensíveis
4. Entidades externas JSON(XXE)
5. Controle de acesso Liberado
6. Configurações Corretasd de segurança
7. Cross-Site Scripting (XSS)
8. Desserialização Insegura
9. Usando componentes com vulnerabilidades conhecidas
10. Registro e monitoramento insuficientes.
1. Injeção
2. Autenticação Quebrada
3. Exposição de dados sensíveis
4. Entidades externas XML (XXE)
5. Controle de acesso quebrado
6. Configurações incorretas de segurança
7. Cross-Site Scripting (XSS)
8. Serialização Insegura
9. Usando componentes com vulnerabilidades desconhecidas
10. Registro e monitoramento insuficientes.
4. _______ de 1,00
Qual a característica de um ataque do tipo ¿Cross Site Scripting¿ (XSS) que motiva esse
nome mais específico, ao invés de simplesmente ¿Injeção de Código¿?
O código irá se multiplicar sozinho por vários sites, sem precisar ser executado. Por isso o nome é ¿cross site¿.
O XSS é um tipo específico de injeção de código que trata de comandos de banco de dados por SQL.
O código injetado é executado no computador do usuário, podendo expor informações daquele computador.
O XSS não é inofensivo para a empresa, não sendo motivo de preocupação.
A característica que o distingue é que o código injetado é executado no servidor da empresa.
5. _______ de 1,00
Hardening é uma técnica de blindagem de sistemas que envolve um processo de mapeamento das ameaças,
mitigação dos riscos e execução das atividades corretivas com foco na Empresa.
Hardening é uma técnica de Vulnerabidade de sistemas que envolve um processo de mapeamento das ameaças,
mitigação dos riscos e execução das atividades corretivas com foco na infra estrutura.
NDA
Hardening é uma técnica de blindagem de sistemas que envolve um processo de mapeamento das ameaças,
mitigação dos riscos e execução das atividades corretivas com foco na infra estrutura.
Hardening é uma técnica de blindagem do Usuário que envolve um processo de mapeamento das ameaças,
mitigação dos riscos e execução das atividades corretivas com foco na infra estrutura.
6. _______ de 1,00
Por definição hardening é um processo que mapea as ameaças, através de ação dos riscos e execução das atividades
corretivas, tento como foco principal a infraestrutura, e seu objetivo principal é de torná-la preparada para enfrentar
tentativas de ataque. Com base no texto podemos entende-se por Hardening.
7. _______ de 1,00
Algoritmos criptológicos simétricos são conhecidos da humanidade desde os tempos mais primórdios, e na segunda guerra
mundial a máquina ENIGMA ficou conhecida por ter sido usada pelos alemães para as comunicações sigilosas estratégicas.
Já a criptografia simétrica passou a ser conhecida da década de 70 em diante.
Sobre a criptologia e seu uso atual, avalie as assertivas a seguir e a relação entre elas:
I - A principal fragilidade da criptografia simétrica é resolvida com a substituição pela criptografia assimétrica.
PORQUE
II - A criptografia assimétrica oferece mecanismos para troca segura de chaves sem a demanda de contato direto entre os
pares de uma comunicação privada.
8. _______ de 1,00
O plano de recuperação de desastres determina como você faz o backup dos seus dados. As opções incluem
armazenamento em nuvem, backups com suporte de fornecedores e backups de dados internos fora da sede. Para
responder a eventos de desastres naturais,
NDA
os backups não devem ser feitos no local.
os backups não devem ser feitos na nuvem.
os backups devem ser feitos no local.
os backups devem ser feitos na nevem
9. _______ de 1,00
O protocolo Wi-Fi 802.11 é um dos mais utilizados atualmente. Sua maior vulnerabilidade está presente na utilização do:
A segurança da informação compreende um conjunto muito amplo de processos e procedimentos que, visam garantir que as
empresas possam estar em um nível aceitável de segurança, minimizando os riscos que possam comprometer a disponibilidade,
integridade e a confidencialidade seus ativos, para isso vários documentos são desenvolvidos, esses documentos descrevem as
ações e procedimentos que devem ser seguidos para garantir a segurança e minimizar os impactos em caso de falhas.
Nesse contexto existe um documento que tem como principal objetivo descrever os procedimentos para restaurar, em tempo
hábil, os serviços e sistemas que sustentam os processos críticos do negócio em caso de falhas severas, e que possam
comprometer a continuidade do negócio como, por exemplo: em caso de incêndio, inundação, destruição dos servidores entre
outros.
Com base nas informações apresentadas no texto, podemos afirmar que o documento de segurança que descreve os
procedimentos para recuperar os serviços e sistemas em tempo hábil diante de situações extremas é.
1. _______ de 1,25
Ao participar de um seminário de segurança cibernética, um Técnico ficou ciente que a indústria de segurança está
trabalhando na popularização dos filtros de tráfego para aplicações em nuvem, incluindo serviços de segurança para
aplicações web no modelo SaaS, com uma oferta cada vez mais variada e de custo acessível. Estes dispositivos são
posicionados em situações estratégicas das redes locais e da nuvem, sendo capazes de detectar pequenas ou grandes
anomalias, em relação ao padrão de tráfego, e disparar mecanismos de alerta, proteção ou destravamento de ataques. Um
especialista em segurança afirmou que grandes empresas exploradoras da nuvem, como Amazon, Cisco, IBM e provedores
de infraestrutura de nuvens públicas ou híbridas de todos os portes estão ajudando a disseminar a adoção deste tipo de
dispositivo como forma de mitigação dos riscos nesse ambiente.
O dispositivo mencionado é o:
2. _______ de 1,25
Um desenvolvedor criou uma aplicação WEB que possui diversas áreas com informações criticas ou sigilosas. Para tentar ocultar
essas informações do acesso por usuários não autorizados, o desenvolvedor tentou proteger algumas funcionalidades críticas do
sistema, apenas criando uma supressão dos links ou URLs dentro da aplicação para usuários não autorizados. Um atacante
conseguiu descobrir quais os links que estavam suspensos, que davam acesso às informações restritas, e conseguiu realizar
ações que normalmente não são autorizadas para os usuários que não possuam os devidos privilégios, fazendo uso do acesso
direto aos links ou URLs que dão acesso a essas informações.
Com base nas informações apresentadas no texto sobre o ataque realizado na aplicação WEB, criada pelo desenvolvedor, e
possível afirmar que:
O atacante fez uso de uma vulnerabilidade comum classificada pela OWASP como sendo uma Autenticação falha e
Gerenciamento de Sessão.
O atacante fez uso de uma vulnerabilidade comum classificada pela OWASP como sendo uma Falha de Restrição de
Acesso à URL.
O atacante fez uso de uma vulnerabilidade comum classificada pela OWASP como sendo uma Execução maliciosa de
arquivos.
O atacante fez uso de uma vulnerabilidade comum classificada pela OWASP como sendo uma Referência Insegura
Direta a Objetos.
O atacante fez uso de uma vulnerabilidade comum classificada pela OWASP como sendo uma Falha de Injeção de
SQL.
3. _______ de 1,25
Existem muitos riscos bem conhecidos e de domínio público que são úteis como fontes de referências para que pesquisadores e
desenvolvedores aprendam como identificá-los e evitar que estejam presentes nos sistemas. Uma das fontes mais conhecidas é o
Top 10 da OWASP (OWASP Top Ten, 2020). Trata-se de um relatório que descreve os principais riscos de segurança de
aplicativos da web. O foco do relatório está nas dez principais vulnerabilidades e é atualizado regularmente. Assim, o risco de
segurança que corre quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta
legítima. Os dados hostis do atacante podem enganar o interpretador levando-o a executar comandos não pretendidos ou a
aceder a dados sem a devida autorização (Adaptado OWASP Top 2017). Este risco de segurança é conhecido como:
Exposição de Dados
Entidades Externas de XML (XXE)
Quebra de Controle de Acessos
Injeção
Quebra de Autenticação
4. _______ de 1,25
5. _______ de 1,25
O alvo do ataque de desserialização insegura são aplicações da web que serializam e desserializam dados. Serialização é uma
forma de transformar objetos (estrutura de dados) de uma aplicação e convertê-los em um formato que pode ser usado para
armazenar os dados, ou fazer streaming. A desserialização é o processo contrário: Os dados serializados são convertidos em
objetos que podem ser usados pelas aplicações. Um ataque de desserialização insegura ocorre no processo de desserialização,
ou seja, antes que os dados sejam transformados em objetos e possam ser usados pelos aplicativos. Esse tipo de ataque é o
resultado da desserialização de dados de fontes não confiáveis. As consequências podem ser ataques de negação de serviço
(DDoS) e de execução remota de código. Entre as medidas que podem evitar esse tipo de ataque estão: Monitoramento da
desserialização, verificações de tipos e proibição de desserialização de dados de fontes não confiáveis.
Para evitar desserializações inseguras, a recomendação é não aceitar objetos serializados de fontes não confiáveis. Além disso, a
OWASP também dá a seguinte recomendação (INSECURE DESERIALIZATION, 2020):
Não impor restrições de tipo durante a desserialização dos dados antes da criação do objeto, pois a aplicação foi
desenvolvida para receber um conjunto de dados com tipos pré-definidos;
Restringir a conectividade de rede, somente de entrada de servidores que desserializam;
Monitorar o comportamento de usuários que raramente fazem desserialização;
Com o objetivo de impedir a criação de objetos com riscos de segurança, ou a violação de dados, deve-se implementar
verificações de integridade, como assinaturas digitais em qualquer objeto serializado;
Sempre que possível, executar código que desserializa dados em ambientes de alto privilégio;
6. _______ de 1,25
Ataques na internet são as tentativas de criminosos cibernéticos de destruir, danificar ou tornar indisponível
uma rede de sistemas. Tais infrações podem fazer com que dados sigilosos sejam roubados ou expostos,
causando a extorsão e exposição de informações confidenciais armazenadas.
Estes ataques geralmente ocorrem com diversos objetivos, visando diferentes alvos e usando variadas
técnicas. Qualquer serviço, computador ou rede acessível pela Internet pode ser alvo de um ataque, da mesma
forma que também qualquer computador com acesso à Internet pode participar de um ataque. Existem muitas
razões para os criminosos lançarem ataques na Internet, desde simples entretenimento a atividades ilegais.
Suas motivações geralmente estão relacionadas à exibição de poder, prestígio, finanças, ideologia e
motivações empresariais.
Disponível em: < https://wcsconectologia.com.br/blog/ataques-ciberneticos-o-que-sao-e-como-se-proteger/>.
Acesso em: 01 set. 2021.
Uma das vulnerabilidades comuns classificadas pelo OWASP tem como característica fazer com que o
navegador de um dispositivo alvo do ataque que esteja autenticado em uma aplicação WEB legitima, por
exemplo, seja forçado a enviar uma requisição pré-autenticada a um servidor Web vulnerável sem os devidos
tratamentos de segurança, que por sua vez força o navegador do dispositivo da vítima a executar ações
maliciosas a favor do atacante. Com base nas informações apresentadas sobre esse tipo de ataque, podemos
concluir que:
7. _______ de 1,25
Os ataques que exploram a vulnerabilidade de quebra de controle de acesso restringem a quantidade de seções ou páginas
que os visitantes podem acessar. O controle de acesso é uma segmentação de responsabilidades em que administradores e
os demais usuários devem ter direitos distintos sobre as funcionalidades e dados dos sistemas. No entanto, muitos sistemas
não trabalham dessa forma, como, por exemplo, alguns dos principais sistemas de gerenciamento de conteúdo (JERKOVIC;
SINKOVIC, 2017). Alguns exemplos que precisam de controle para acessar são:
Marque a alternativa abaixo que contém todos os exemplos, da lista acima, que precisam de controle:
II, III, IV e V
I, III, IV e V
I, II e III
II, IV e V
I, II, III e V
8. _______ de 1,25
De acordo como OWASP - Open Web Application Security Project os ataques no nível das aplicações tem cada vez
aumentado nos últimos anos. Esta organização não governamental tem sido de grande ajuda na publicação de conteúdos
que contribuem para o desenvolvimento de software mais seguro.
Fonte: https://owasp.org/
I - O OWASP é uma Instituição com fins lucrativos. Neste sentido, o conteúdo oferecido precisa ser remunerado pelos
desenvolvedores.
II - Dentre os conteúdos publicados pelo OWASP é possível se encontrar um detalhamento técnico de como se
desencadeiam alguns tipos de ataques a aplicações web, a exemplo do Sql-injection e XSS.
III - O OWASP também publica conteúdos que ajudam as empresas a se prevenirem contra ataques cibernéticos em sua
infraestrutura de redes e ambientes operacionais.