Um órgão fazendário federal mantém uma API para que empresas...

Com base no mesmo assunto

Ano: 2026 Banca: FCC Órgão: SEFAZ-SP Prova: FCC - 2026 - SEFAZ-SP - Auditor Fiscal da Receita Estadual - AFRE - Tecnologia da Informação e Comunicação - Conhecimentos Especificos (P3) |

Q3926912 Segurança da Informação

Um órgão fazendário federal mantém uma API para que empresas consultem pendências tributarias. A equipe de segurança identificou que o backend reutiliza o mesmo token de acesso OAuth2 por até 24 horas, sem rotação, com permissões amplas e sem validação de escopo em relação ao que o cliente solicitou. Um atacante que obtenha esse token consegue consultar dados de múltiplos contribuintes. Nesse cenário, considerando o OWASP Top 10:2021, a ação que corrige diretamente as falhas de controle de acesso e de sessão descritas é

implementar assinatura digital do payload JSON (JWS) em todas as respostas da AP| de consulta tributaria.

reduzir o tempo de vida dos tokens, implementar rotação periódica e validar rigorosamente os escopos permitidos para cada cliente.

exigir TLS 1.3 em todas as conexões com a API para garantir criptografia ponta a ponta.

aplicar compressão dos payloads para minimizar o volume de dados sensíveis trafegando na API e reduzir o tempo de vida do token pela metade.

incluir um CAPTCHA na interface de envio de consultas para dificultar o abuso automatizado da API e aumentar a segurança.

Incorreta. Gabarito oficial da banca:

Compare seu desempenho com quem faz o mesmo concurso. Ver concorrência

teste

Parabéns! Você acertou!

Compare seu desempenho com quem faz o mesmo concurso. Ver concorrência

teste

🚀 Quer mais performance?

🚀 Quer mais performance?

Um órgão fazendário federal mantém uma API para que empresas...

Questões de assuntos semelhantes

Provas relacionadas