Questões de Segurança da Informação - Ataques e ameaças para Concurso

O fragmento de código a seguir recebe o nome de um arquivo como parâmetro da linha de comando e mostra o seu conteúdo ao usuário. O script é configurado com setuid root, pois visa servir como uma ferramenta educacional para permitir que administradores de sistemas em treinamento examinem arquivos privilegiados do sistema, sem conceder-lhes a capacidade de alterá-los ou causar danos ao sistema.


Dado que o programa opera com privilégios de administrador, a função system() é igualmente executada com tais privilégios. Quando um usuário fornece um nome de arquivo padrão, a chamada funciona como esperado. Contudo, se um invasor inserir uma string como ";rm -rf /", a chamada system() falhará ao tentar executar o comando "cat" por falta de argumentos, resultando na tentativa subsequente de

Um ataque do tipo SQL Injection consiste na inserção de uma consulta SQL através dos dados de entrada do cliente para a aplicação.

Com relação às defesas primárias recomendadas pela OWASP para esse tipo de ataque, analise as afirmativas a seguir e assinale (V) para a verdadeira e (F) para a falsa.
( ) Implementar escape em todos os dados fornecidos pelo usuário.
( ) Emprego de Stored Procedures adequadamente construídas.
( ) Utilização de Prepared Statements com consultas parametrizadas.
As afirmativas são, respectivamente,

O que é um ataque de phishing?  

Existem diversos tipos de ataques cibernéticos que visam comprometer a segurança da informação e causar danos às organizações e indivíduos. A respeito do ataque de negação de serviço distribuído (DDoS), analise as afirmativas a seguir:
I. Ele é um ataque do tipo phishing. II. Um dos tipos de DDoS é o baseado no Service Port Flood, no qual o atacante utiliza endereços IPs falsos para solicitar o atendimento à requisição de serviço. III. Ele é um ataque que utiliza vários dispositivos distribuídos para sobrecarregar um sistema ou rede.
É correto o que se afirma em