Questões de Segurança da Informação - Ataques e ameaças para Concurso

Um tipo de problema comum que ocorre em aplicações web é quando a aplicação não neutraliza adequadamente uma entrada fornecida como argumento na sua URL de acesso, e esse argumento é utilizado para compor uma página que será servida para o usuário da aplicação.
Nesse contexto, um especialista em segurança realizou um teste e confirmou a existência de um problema desse tipo.
Para isso, ele introduziu a seguinte URL:
http://www.exemplo.com/app.php?username=<Script Language="Javascript">alert("Você pode ser atacado!");</Script>
Como resultado desse teste de comprovação do especialista, o navegador apresentou uma janela pop-up com a mensagem de alerta Você pode ser atacado! na página da aplicação testada.

Esse teste comprova que essa aplicação web está vulnerável ao ataque de 

A MITRE ATT&CK® é uma base de conhecimento de táticas e de técnicas adversárias, construída a partir das observações do mundo real. Essa base de conhecimento organiza as técnicas em um conjunto de táticas para ajudar a explicar e a fornecer contexto para a técnica.
Um exemplo de técnica da tática de reconhecimento (reconnaissance) é a(o)

A Resolução nº 740/2020, da Anatel, aprovou o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, que tem por objetivo estabelecer condutas e procedimentos para a promoção da segurança nas redes e nos serviços de telecomunicações. Nessa resolução, é apresentada a seguinte definição:

espaço virtual composto por um conjunto de canais de comunicação da internet e outras redes de comunicação que garantem a interconexão de dispositivos de TIC e que engloba todas as formas de atividades digitais em rede, incluindo o armazenamento, processamento e compartilhamento de conteúdo além de todas as ações, humanas ou automatizadas, conduzidas através desse ambiente.

Na resolução citada, essa é a definição de espaço

Na NBR ISO 27005:2019, é estabelecido que a análise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da criticidade dos ativos, da extensão das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organização. Há uma metodologia de análise de riscos que utiliza uma escala com atributos que descrevem a magnitude das consequências potenciais (por exemplo, pequena, média e grande) e a probabilidade de essas consequências ocorrerem (por exemplo, alta, média e baixa).
Essa metodologia de análise de riscos é classificada como

Na NBR ISO 27002:2013, são listados controles e objetivos de controles que devem ser aplicados de forma alinhada com o tratamento de riscos de segurança da informação. Um desses controles visa assegurar que a segurança da informação está implementada e é operada de acordo com as políticas e com os procedimentos da organização.
O objetivo descrito é o do controle de