Questões de Concurso Sobre ataques e ameaças em segurança da informação

Foram encontradas 1.928 questões

Q3170242 Segurança da Informação

A respeito de gestão de segurança da informação, protocolos de autenticação, ameaças e vulnerabilidades em aplicações e segurança de aplicativos web, julgue o item a seguir, considerando, no que couber, as disposições das normas técnicas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27002:2022. 


No contexto do planejamento e do controle operacionais, a organização deve controlar as mudanças planejadas e analisar criticamente as consequências de mudanças não intencionais, tomando ações para mitigar quaisquer efeitos adversos, conforme necessário.

Alternativas
Q3170241 Segurança da Informação

A respeito de gestão de segurança da informação, protocolos de autenticação, ameaças e vulnerabilidades em aplicações e segurança de aplicativos web, julgue o item a seguir, considerando, no que couber, as disposições das normas técnicas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27002:2022. 


A metodologia OWASP (open web application security project) propõe um modelo de escopo de segurança restrito às etapas finais do desenvolvimento de software, focando principalmente na detecção e na mitigação de vulnerabilidades em produtos já prontos. 

Alternativas
Q3167238 Segurança da Informação

Julgue o próximo item, referente a códigos maliciosos e aplicativos para segurança.


Denomina-se screenlogger o código malicioso projetado para monitorar o uso de teclados virtuais, capturar as regiões de tela acionadas por esses teclados e enviar as informações coletadas para terceiros.

Alternativas
Q3167237 Segurança da Informação

Julgue o próximo item, referente a códigos maliciosos e aplicativos para segurança.


Os sistemas antimalware baseados em métodos heurísticos têm como principal característica a imunidade à sinalização de falsos positivos, o que os torna superiores em eficácia aos sistemas baseados em assinaturas.

Alternativas
Q3167178 Segurança da Informação

Acerca de ameaças e vulnerabilidades em aplicações, julgue o item a seguir.


Considere a seguinte URL.

https://prova.com/prova_seguranca?id=1332


Se nenhum outro controle estiver em vigor, um atacante pode simplesmente modificar o valor id para visualizar outros registros da aplicação em questão, sendo esse um exemplo de referência insegura a objetos que leva ao escalonamento horizontal de privilégios.

Alternativas
Q3167177 Segurança da Informação

Acerca de ameaças e vulnerabilidades em aplicações, julgue o item a seguir.


Uma das consequências de um ataque de CSRF (cross-site request forgery) bem-sucedido é que o atacante consegue levar o usuário vítima a executar uma ação involuntariamente, podendo causar prejuízos variados, conforme a aplicação explorada.



Alternativas
Q3167155 Segurança da Informação
Acerca do processo de implementação do CLASP, julgue o próximo item.
O designer é responsável por identificar a superfície de ataque de uma aplicação, a qual abrange todas as partes expostas do sistema que sejam suscetíveis a ataques. 
Alternativas
Q3167067 Segurança da Informação

Julgue o item a seguir, a respeito da segurança da informação e dos vários tipos de ataques e suas características.  


Um ataque do tipo UAF (use-after-free) se caracteriza pelo uso de espaço de memória específico antes de ter sido explicitamente alocado pelo programa.

Alternativas
Q3167066 Segurança da Informação

Julgue o item a seguir, a respeito da segurança da informação e dos vários tipos de ataques e suas características.  


Em segurança da informação, a disponibilidade é um princípio que garante, aos usuários, a capacidade de acessar sistemas e(ou) informações quando necessário, mesmo que o sistema ou a infraestrutura esteja sob pressão.

Alternativas
Q3162214 Segurança da Informação
Durante a realização de testes de invasão em uma aplicação Web, um analista encontrou um vetor de ataque para uma travessia de diretórios. Marque a alternativa que possui um payload válido para este ataque.
Alternativas
Q3162213 Segurança da Informação
Uma equipe de tratamento de incidentes está analisando uma campanha de phishing através da qual um atacante utiliza uma página falsa com várias camadas transparentes ou opacas para induzir suas vítimas a interagir com uma página Web diferente daquela que eles acreditam estar interagindo. Marque a alternativa que identifica esse tipo de ataque e uma possível técnica de mitigação para ele.
Alternativas
Q3162205 Segurança da Informação
“Detran alerta para golpes por mensagens SMS: Unidades dos departamentos estaduais de Trânsito (Detrans) em todo o Brasil têm chamado a atenção para tentativas de golpe envolvendo mensagens de texto. Essas mensagens direcionam para sites falsos que solicitam dados pessoais, alegando suspensão ou cassação da Carteira Nacional de Habilitação (CNH).”

(Fonte:https://www.opovo.com.br/noticias/brasil/2024/11/19/detran-alerta-para-golpes-por-mensagens-sms.html).

Ataques de engenharia social utilizando esse vetor de ataque são conhecidos como:
Alternativas
Q3162203 Segurança da Informação
Ettercap é uma ferramenta para análise de redes e hospedeiros que permite o sniffing de conexões ativas, a filtragem de conteúdo em tempo real, a dissecação ativa e passiva de protocolos etc. Utilizando o Ettercap, um atacante pode transmitir pacotes ARP não solicitados para alvos em uma rede local. Como o protocolo ARP não possui mecanismos de segurança, os dispositivos receptores confiam nessa comunicação e atualizam suas tabelas ARP com o endereço falsificado. Assinale o item que apresenta, respectivamente, o nome da técnica descrita e que tipo de ataque pode ser realizado pelo atacante utilizando-a.
Alternativas
Q3162198 Segurança da Informação
“Um incidente de segurança em computadores pode ser definido como uma atividade nas máquinas ou na rede que possa ameaçar a segurança dos sistemas computacionais.”
(Fonte: https://cert.br/certcc/csirts/csirt_faq-br.html).

Um indício de que um ativo ou rede foi atacado com sucesso ou continua sendo atacado é chamado de:
Alternativas
Q3161231 Segurança da Informação
Um Analista de Informática precisa implementar medidas de proteção para garantir a segurança da informação em uma empresa. Ele deve considerar os diferentes tipos de ataques e vulnerabilidades que podem afetar os ativos da empresa, incluindo hardware, software, sistemas operacionais, aplicações, bancos de dados, redes, pessoas e ambiente físico.

Relacione os tipos de ataque com as medidas de proteção mais adequadas:

1.Ataque de phishing.
2.Ataque de negação de serviço (DoS).
3.Invasão física ao data center.
4.SQL injection.
5.Ataque de malware.

(__)Firewall
(__)Sistema de detecção de intrusão (IDS).
(__)Controle de acesso físico e sistema de vigilância.
(__)Treinamento de conscientização sobre segurança.
(__)Antivírus e sistema de prevenção de intrusão (IPS).

Assinale a alternativa que apresenta a sequência correta de preenchimento dos parênteses de cima para baixo:
Alternativas
Q3161225 Segurança da Informação
Uma empresa de e-commerce sofreu um ataque de ransomware que criptografou todos os dados do seu servidor principal, incluindo o banco de dados de clientes, o sistema de pedidos e o catálogo de produtos. A equipe de TI precisa agir rapidamente para restaurar os sistemas e minimizar os impactos do ataque.
Nesse cenário, qual documento deve ser consultado para orientar as ações de recuperação e garantir a continuidade das operações da empresa?
Alternativas
Q3156993 Segurança da Informação

Julgue o item a seguir, relativo à certificação digital, à gestão de riscos e ao disposto na Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais − LGPD).


De acordo com a NBR ISO/IEC 27005, um propósito viável para a gestão de riscos de segurança da informação é definir a execução de políticas e procedimentos, incluindo-se a implementação dos controles selecionados.

Alternativas
Q3156991 Segurança da Informação

Julgue o item a seguir, relativo à certificação digital, à gestão de riscos e ao disposto na Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais − LGPD).


Uma empresa de e-commerce no Brasil que coleta endereços de IP dos usuários deve justificar o tratamento de dados pessoais com base na LGPD, mediante o consentimento do titular ou para atender ao legítimo interesse do controlador, sendo assegurados ao titular o acesso e a eliminação dos dados tratados, salvo exceções legais.

Alternativas
Q3156989 Segurança da Informação

No que se refere a segurança de aplicativos web, prevenção e combate a ataques a redes de computadores e sistemas criptográficos, julgue o item seguinte.


Na análise de vulnerabilidades em aplicações web, a determinação precisa do tipo de servidor web em que um aplicativo é executado viabiliza que testadores de segurança verifiquem se o aplicativo é vulnerável, identificando, por exemplo, servidores que executem versões mais antigas de software suscetíveis a exploits conhecidos.  

Alternativas
Q3156988 Segurança da Informação

No que se refere a segurança de aplicativos web, prevenção e combate a ataques a redes de computadores e sistemas criptográficos, julgue o item seguinte.


Um cliente que receba um e-mail aparentemente legítimo em nome de seu banco corporativo e insira suas credenciais para acessar, por meio de um link fornecido no e-mail, um sítio falso visualmente idêntico ao original, poderá autenticar-se com segurança, caso exista um certificado SSL ativo no sítio, o que garante que os dados enviados serão protegidos contra interceptações durante a comunicação com o servidor.

Alternativas
Respostas
641: C
642: E
643: C
644: E
645: C
646: C
647: C
648: E
649: C
650: C
651: B
652: D
653: B
654: D
655: A
656: C
657: E
658: C
659: C
660: E