Questões de Concurso
Comentadas sobre segurança de sistemas de informação em segurança da informação
Foram encontradas 521 questões
Julgue o item seguinte, a respeito de Maven, desenvolvimento web, servidor web, servidor de aplicação e criptografia.
Na troca de mensagens entre duas empresas parceiras, a
autenticidade e o sigilo das informações trocadas podem ser
garantidos com o uso de criptografia simétrica.
Julgue o item que se segue, acerca de data mining e data warehouse.
No desenvolvimento de software, devem ser previstas
validações ou codificações nas entradas realizadas pelo usuário
de modo a evitar ataques cross-site scripting (XSS), que
ocorrem quando um invasor usa um aplicativo web para enviar
códigos mal-intencionados, geralmente na forma de um script
do lado do navegador.
Acerca do desenvolvimento seguro de software, julgue o item seguinte.
Situação hipotética: Com a finalidade de realizar testes de
segurança, foi desenvolvido um sistema de inferência fuzzy
com a definição das propriedades das entradas para observar
a saída desse sistema, a fim de que fossem indicados erros
(bugs) e arquivos malformados que pudessem causar falhas no
aplicativo. Assertiva: Nessa situação, uma boa prática será
manter os testes referidos, para que seja possível reproduzir o
erro e verificar se as regressões de código não foram
reintroduzidas no erro.
Acerca do desenvolvimento seguro de software, julgue o item seguinte.
Mesmo em sistemas com componentes e bibliotecas mantidos
atualizados, porém não versionados, pode ocorrer falhas do
tipo utilização de componentes vulneráveis conhecidos, em que
o atacante identifica um componente vulnerável de tais
bibliotecas, personaliza o exploit por meio de varredura ou
análise manual, conforme necessário, e executa o ataque.
Acerca do desenvolvimento seguro de software, julgue o item seguinte.
No caso em que contas-padrão não são alteradas em razão de
o console de administração do servidor de aplicação ter sido
instalado automaticamente e não ter sido removido,
recomenda-se utilizar um processo de hardening recorrente ou
desenvolver arquitetura de aplicação que separe os
componentes.
Acerca do desenvolvimento seguro de software, julgue o item seguinte.
Situação hipotética: Ao realizar uma sessão em um navegador, um usuário enviou, para o sítio de um atacante, a seguinte requisição HTTP forjada, cujo parâmetro AB foi alterado com a diretiva document.location apontando para esse sítio, tal que o ID da sessão do usuário foi enviado para o atacante, que, assim, teve condições de acessar a sessão atual em questão.
(String)page+=”input name = ‘senha’ type = ‘TEXT’ value = ‘”+request.getParameter(“AB”)+”’>”;
Assertiva: A situação apresentada configura uma falha
de XSS.
Acerca do desenvolvimento seguro de software, julgue o item seguinte.
A fim de mitigar riscos à segurança computacional, as
infraestruturas críticas devem ser protegidas por meio de um
processo de desenvolvimento em que a arquitetura, o design e
a implementação do software resistam a ataques, para que se
protejam o próprio software e as informações por ele
processadas.
Acerca do desenvolvimento seguro de software, julgue o item seguinte.
São exemplos de falhas de XSS (cross-site scripting) a injeção
de SQL e o LDAP (lightweight directory access protocol),
criado como alternativa ao DAP.
A respeito de modos de operação de cifra, julgue o item que se segue.
Uma entrada de vídeo de uma câmera em um computador pode
ser uma fonte de entropia.
A respeito de modos de operação de cifra, julgue o item que se segue.
A ação do usuário em mexer o mouse aleatoriamente em um
computador é incapaz de gerar entropia.
Acerca de criptografia e segurança em computadores, julgue o próximo item.
Um dos objetivos da segurança em computadores é a
manutenção da privacidade, que garante que as ações de uma
entidade sejam associadas exclusivamente a ela.
Em relação a sistemas ICS/SCADA, julgue o item a seguir.
Em sistemas SCADA, o uso de comunicação por meio de
satélite tem aumentado como resposta a fatores de segurança.
Em relação a sistemas ICS/SCADA, julgue o item a seguir.
Na configuração típica de um sistema ICS/SCADA, a
utilização de um CLP exige a sua ligação a uma unidade
terminal remota.
Em relação a sistemas ICS/SCADA, julgue o item a seguir.
O emprego de protocolos é um fator positivo em relação à
segurança de sistemas SCADA, já que, embora proprietários,
eles são de conhecimento público e, portanto, amplamente
avaliados quanto à segurança.
Considerando o acesso a um sítio de uma empresa, desenvolvido em arquitetura Web/PHP, julgue o item a seguir, a respeito de segurança de aplicações web.
Situação hipotética: Um empregado da empresa que deveria
ter acesso apenas a seu contracheque, ao inspecionar o código,
observou que é possível alterar os seus dados GET de busca e
acessar o contracheque de outro empregado, do qual conhece
o user, que é o filtro do sistema. Assertiva: Essa situação
ilustra um problema de cross-site scripting (XSS), que pode
ser resolvido alterando-se o método do formulário para post.
O item a seguir apresenta uma situação hipotética seguida de uma assertiva a ser julgada a respeito de identificação de vulnerabilidades por inspeção de código.
Um arquivo de configuração é acessado por uma classe Java
que guarda, em um objeto em memória, o acesso ao
dataSource do banco de dados do servidor. Quando
compilado, esse arquivo é criptografado. Nesse caso, para
evitar alteração ou modificação do arquivo por terceiros, uma
solução seria guardar o arquivo no repositório GIT, de
forma privada.
Acerca de testes de penetração, julgue o item seguinte.
Situação hipotética: O acesso a uma aplicação web com permissão de administrador é realizado por meio do valor informado em uma variável, conforme a seguir.
http://www.site.com.br/aplicacacao?profile=as cs23f8g7por04
Assertiva: Nesse caso, de acordo com a OWASP (Open Web Application Security Project), o teste de penetração black-box automatizado é efetivo para encontrar uma vulnerabilidade, dados o valor fixo para a variável e a forma de passagem: pedido via GET.
Com o objetivo de direcionar testes de penetração a ser executados em uma organização, um analista deve considerar os seguintes requisitos.
I Devem ser realizados ataques sem que o testador tenha conhecimento prévio acerca da infraestrutura e(ou) aplicação.
II Devem ser enviadas ao testador informações parciais e(ou) limitadas sobre os detalhes internos do programa de um sistema, simulando, por exemplo, um ataque de hacker externo.
Tendo como referência a situação hipotética apresentada, julgue o item que se segue.
O requisito II é uma descrição do teste de penetração do tipo
white-box, que é normalmente considerado uma simulação de
ataque por fonte interna e(ou) usuário privilegiado.
A respeito de inteligência de ameaças em fontes abertas (OSINT), julgue o item a seguir.
Informações obtidas por meio de OSINT são menos confiáveis
e menos precisas que aquelas obtidas usando-se disciplinas de
inteligência tradicionais.