Questões de Concurso
Sobre ataques e ameaças em segurança da informação
Foram encontradas 1.928 questões
A respeito de gestão de segurança da informação, protocolos de autenticação, ameaças e vulnerabilidades em aplicações e segurança de aplicativos web, julgue o item a seguir, considerando, no que couber, as disposições das normas técnicas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27002:2022.
No contexto do planejamento e do controle operacionais, a organização deve controlar as mudanças planejadas e analisar criticamente as consequências de mudanças não intencionais, tomando ações para mitigar quaisquer efeitos adversos, conforme necessário.
A respeito de gestão de segurança da informação, protocolos de autenticação, ameaças e vulnerabilidades em aplicações e segurança de aplicativos web, julgue o item a seguir, considerando, no que couber, as disposições das normas técnicas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27002:2022.
A metodologia OWASP (open web application security project) propõe um modelo de escopo de segurança restrito às etapas finais do desenvolvimento de software, focando principalmente na detecção e na mitigação de vulnerabilidades em produtos já prontos.
Julgue o próximo item, referente a códigos maliciosos e aplicativos para segurança.
Denomina-se screenlogger o código malicioso projetado para monitorar o uso de teclados virtuais, capturar as regiões de tela acionadas por esses teclados e enviar as informações coletadas para terceiros.
Julgue o próximo item, referente a códigos maliciosos e aplicativos para segurança.
Os sistemas antimalware baseados em métodos heurísticos têm como principal característica a imunidade à sinalização de falsos positivos, o que os torna superiores em eficácia aos sistemas baseados em assinaturas.
Acerca de ameaças e vulnerabilidades em aplicações, julgue o item a seguir.
Considere a seguinte URL.
https://prova.com/prova_seguranca?id=1332
Se nenhum outro controle estiver em vigor, um atacante pode simplesmente modificar o valor id para visualizar outros registros da aplicação em questão, sendo esse um exemplo de referência insegura a objetos que leva ao escalonamento horizontal de privilégios.
Acerca de ameaças e vulnerabilidades em aplicações, julgue o item a seguir.
Uma das consequências de um ataque de CSRF (cross-site request forgery) bem-sucedido é que o atacante consegue levar o usuário vítima a executar uma ação involuntariamente, podendo causar prejuízos variados, conforme a aplicação explorada.
O designer é responsável por identificar a superfície de ataque de uma aplicação, a qual abrange todas as partes expostas do sistema que sejam suscetíveis a ataques.
Julgue o item a seguir, a respeito da segurança da informação e dos vários tipos de ataques e suas características.
Um ataque do tipo UAF (use-after-free) se caracteriza pelo uso de espaço de memória específico antes de ter sido explicitamente alocado pelo programa.
Julgue o item a seguir, a respeito da segurança da informação e dos vários tipos de ataques e suas características.
Em segurança da informação, a disponibilidade é um princípio que garante, aos usuários, a capacidade de acessar sistemas e(ou) informações quando necessário, mesmo que o sistema ou a infraestrutura esteja sob pressão.
(Fonte:https://www.opovo.com.br/noticias/brasil/2024/11/19/detran-alerta-para-golpes-por-mensagens-sms.html).
Ataques de engenharia social utilizando esse vetor de ataque são conhecidos como:
(Fonte: https://cert.br/certcc/csirts/csirt_faq-br.html).
Um indício de que um ativo ou rede foi atacado com sucesso ou continua sendo atacado é chamado de:
Relacione os tipos de ataque com as medidas de proteção mais adequadas:
1.Ataque de phishing.
2.Ataque de negação de serviço (DoS).
3.Invasão física ao data center.
4.SQL injection.
5.Ataque de malware.
(__)Firewall
(__)Sistema de detecção de intrusão (IDS).
(__)Controle de acesso físico e sistema de vigilância.
(__)Treinamento de conscientização sobre segurança.
(__)Antivírus e sistema de prevenção de intrusão (IPS).
Assinale a alternativa que apresenta a sequência correta de preenchimento dos parênteses de cima para baixo:
Nesse cenário, qual documento deve ser consultado para orientar as ações de recuperação e garantir a continuidade das operações da empresa?
Julgue o item a seguir, relativo à certificação digital, à gestão de riscos e ao disposto na Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais − LGPD).
De acordo com a NBR ISO/IEC 27005, um propósito viável para a gestão de riscos de segurança da informação é definir a execução de políticas e procedimentos, incluindo-se a implementação dos controles selecionados.
Julgue o item a seguir, relativo à certificação digital, à gestão de riscos e ao disposto na Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais − LGPD).
Uma empresa de e-commerce no Brasil que coleta endereços de IP dos usuários deve justificar o tratamento de dados pessoais com base na LGPD, mediante o consentimento do titular ou para atender ao legítimo interesse do controlador, sendo assegurados ao titular o acesso e a eliminação dos dados tratados, salvo exceções legais.
No que se refere a segurança de aplicativos web, prevenção e combate a ataques a redes de computadores e sistemas criptográficos, julgue o item seguinte.
Na análise de vulnerabilidades em aplicações web, a determinação precisa do tipo de servidor web em que um aplicativo é executado viabiliza que testadores de segurança verifiquem se o aplicativo é vulnerável, identificando, por exemplo, servidores que executem versões mais antigas de software suscetíveis a exploits conhecidos.
No que se refere a segurança de aplicativos web, prevenção e combate a ataques a redes de computadores e sistemas criptográficos, julgue o item seguinte.
Um cliente que receba um e-mail aparentemente legítimo em nome de seu banco corporativo e insira suas credenciais para acessar, por meio de um link fornecido no e-mail, um sítio falso visualmente idêntico ao original, poderá autenticar-se com segurança, caso exista um certificado SSL ativo no sítio, o que garante que os dados enviados serão protegidos contra interceptações durante a comunicação com o servidor.