Alternativa correta: E - Utilizar técnicas de cracking para desabilitar recursos não desejados.

A questão apresenta um desafio comum em concursos de segurança da informação: identificar uma opção que não representa uma ameaça ou vulnerabilidade típica de sistemas Web. Para resolver essa questão, é importante ter um entendimento abrangente sobre os conceitos de segurança cibernética, especialmente no âmbito de aplicações Web.

1. Compreendendo o tema central:

No contexto de segurança da informação, ameaças e vulnerabilidades são aspectos críticos que determinam a exposição de sistemas a riscos. As ameaças são eventos ou agentes que podem causar danos a um sistema, enquanto as vulnerabilidades são fraquezas ou falhas que podem ser exploradas por essas ameaças.

2. Justificativa para a alternativa correta:

A alternativa E, "Utilizar técnicas de cracking para desabilitar recursos não desejados", não se configura como uma ameaça ou vulnerabilidade típica de sistemas Web por si só. Cracking é uma atividade maliciosa que visa quebrar seguranças ou proteções, e não representa uma vulnerabilidade do sistema, mas sim uma técnica ofensiva usada por atacantes. Em contraste, as outras opções são vulnerabilidades ou ameaças recorrentes em sistemas Web.

3. Análise das alternativas incorretas:

A - Gerenciamento de sessões: O gerenciamento inadequado de sessões pode levar a sequestro de sessão, onde um atacante assume a identidade de um usuário. Isso é uma vulnerabilidade típica e bem documentada em aplicações Web (referência: OWASP Top Ten).

B - Ataque de negação de serviços (DoS): Este é um tipo de ataque que tenta tornar um serviço indisponível para seus usuários legítimos, uma ameaça comum enfrentada por sistemas Web.

C - Utilizar apenas validação do lado do cliente (client-side validation): Essa prática é considerada uma vulnerabilidade porque as validações no lado do cliente podem ser facilmente burladas. Validações devem ser sempre implementadas no servidor para garantir segurança.

D - Adicionar senhas e credenciais diretamente no código (hard-coded): Esta prática é uma vulnerabilidade grave, pois expõe informações sensíveis diretamente no código, facilitando o acesso não autorizado.

Estratégia para interpretação do enunciado: Leia atentamente o enunciado para identificar o que exatamente está sendo pedido. Neste caso, uma alternativa que não representa uma ameaça ou vulnerabilidade típica. Fique atento a palavras-chave como "NÃO" que indicam negação.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Eu marcaria A, mas o gabarito está em

[E] - Utilizar técnicas de cracking para desabilitar recursos não desejados.

identificação de ameaças; (Ameaça=incendio, tipo=dano_fisico, origem=acidental, fonte=curto-circuito)

 “é uma causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização” (ISO/IEC, 2004).

identificação de vulnerabilidades; controles ruins são vulnerabilidade; vulnerabilidades não são intrinsecamente ruins, pois é preciso uma ameaça estar presente para explorá-las

Uma vulnerabilidade “é uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças” (ISO/IEC, 2004).

sim. gerenciamento de sessoes pode ser uma vulnerabilidade se nao for eficaz. mas essa opção se difere das outras por ser uma rotina necesaria para administração de sistemas, enquanto q a outras opções sao ações a serem evitadas

enfim. consoante gabarito, Utilizar cracking para desabilitar recursos não desejados: não é uma vulnerabilidade típica de sistemas web. mas Ataque de negação de serviços (DoS) tb nao é vulnerabilidade, e sim um ataque efetuado. assim como cracking