Durante uma auditoria de segurança em um sistema de dados f...

Próximas questões
Com base no mesmo assunto
Q3508326
Segurança da Informação Ataques e ameaças , Autenticação ,
Ano: 2025 Banca: FURB Órgão: Prefeitura de Florianópolis - SC Prova: FURB - 2025 - Prefeitura de Florianópolis - SC - Auditor Fiscal de Tributos Municipais - Tecnologia da Informação - 2º Dia |
Q3508326 Segurança da Informação
Durante uma auditoria de segurança em um sistema de dados financeiros, a equipe responsável identificou uma vulnerabilidade crítica em um micro serviço responsável pela autenticação do sistema. O sistema estava aceitando tokens JWT cujo cabeçalho (header) especificava o algoritmo "none". Um atacante, explorando essa falha, conseguiu gerar manualmente um token falso com privilégios de administrador, obtendo acesso não autorizado a recursos sensíveis do sistema. Em relação à autenticação e autorização baseadas em tokens JWT, assinale a alternativa que descreve corretamente a implicação direta de permitir o uso do algoritmo "none":
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Alternativa correta: D

1. Tema central da questão

O foco está em segurança de autenticação baseada em tokens JWT (JSON Web Token), especialmente sobre a consequência de se permitir o uso do algoritmo "none", que é uma configuração crítica e perigosa. Esse conhecimento é fundamental porque afeta diretamente a integridade e a confiabilidade dos processos de autenticação e autorização em sistemas modernos.

2. Resumo teórico

O JWT é um padrão aberto (RFC 7519) usado para transmitir informações seguras entre partes como um objeto JSON. Ele normalmente inclui uma assinatura digital (usando, por exemplo, HMAC ou RSA) para garantir que o conteúdo não foi alterado. O algoritmo "none" especifica que não existe assinatura, tornando o token vulnerável à falsificação.

3. Justificativa da alternativa correta (D)

Permitir o algoritmo "none" faz com que o JWT não seja assinado. Qualquer pessoa pode criar tokens falsos e inserir quaisquer informações, inclusive privilégios de administrador. Assim, o mecanismo de autenticação e autorização é comprometido, pois o sistema não tem como verificar se o token realmente foi emitido por uma fonte confiável.

4. Análise das alternativas incorretas

A: Falsa. Não se trata de validar “chave simétrica nula”; o problema é a ausência total de assinatura.

B: Incorreta. Com “none”, não há assinatura alguma, não sendo questão de autenticação parcial.

C: Errada. Não existe a assinatura para ser revertida, e a distinção entre chave pública e privada não se aplica ao algoritmo “none”.

E: Inexata. Não se usa assinatura com chave pública e verificação com chave privada em JWT; além disso, não tem relação com a permissão de criação irrestrita de tokens.

5. Estratégia de interpretação

Leia atentamente os termos técnicos (ex: “assinatura”, “chave”, “validação”) e desconfie de alternativas que misturam conceitos de criptografia sem relação direta com o enunciado. Sempre busque o efeito prático do erro apresentado na situação-problema.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Gabarito D

Quando um token JWT (JSON Web Token) é criado com o algoritmo no cabeçalho, ele indica que não há assinatura para verificar a integridade do conteúdo do token.

  • Isso significa que qualquer pessoa pode criar ou modificar o token e o servidor, se mal configurado, aceitará o token como válido, pois não há verificação de assinatura.
  • Esse é um erro de segurança crítico, pois permite que atacantes forjem tokens com quaisquer dados de payload (como permissões de administrador), obtendo acesso não autorizado a áreas protegidas do sistema.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas