Questões de Concurso Público Câmara de Belo Horizonte - MG 2024 para Analista de Tecnologia da Informação - Área de Desenvolvimento de Sistema

Determinado usuário com conhecimentos avançados em tecnologia da informação estava navegando em um portal de notícias da sua cidade, quando observou que era possível inserir trechos em HTML nos campos de comentários das reportagens. Esse comportamento chamou a atenção do usuário, que resolveu testar se também era possível adicionar códigos JavaScript; logo, foi verificado que o teste foi bem-sucedido, pois nenhum bloqueio foi detectado ao adicionar esse tipo de código. A vulnerabilidade observada pelo usuário na situação hipotética torna possível um ataque conhecido como Cross-Site Scripting (XSS), que explora a falta de tratamento adequado das informações digitadas pelos usuários. Analise as afirmativas a seguir sobre o tipo de ataque em questão.


I. O objetivo é enviar comandos JavaScript e css que serão executados pelo servidor com comportamentos prejudiciais ao usuário.
II. Uma forma de burlar algoritmos de tratamento de XSS é utilizar os códigos JavaScript mascarados como, por exemplo, em notação hexadecimal.
III. Um exemplo de ataque pode ser: adicionar um código JavaScript para coletar os dados de autenticação digitados pelo usuário e, em seguida, realizar uma requisição ajax para outra aplicação enviando-os.


Está correto o que se afirma apenas em 

Determinado usuário utilizou o seu computador pessoal com um browser de sua preferência, para realizar login no site de uma instituição financeira que ele utiliza. Após realizar corretamente a autenticação com o seu usuário/senha, ele recebeu um e-mail em nome dessa mesma instituição que possuía um link para acesso à conta; sem desconfiar da procedência da mensagem, o usuário clicou no link e prosseguiu com o preenchimento dos dados para uma transferência bancária. O sistema da instituição financeira em questão não apresentava um mecanismo eficiente de proteção para a utilização de cookies e, com isso, um hacker explorou essa vulnerabilidade capturando o cookie original da autenticação que foi realizada, para promover um ataque conhecido como Cross-Site Request Forgery (CSRF), forjando uma requisição cross-site de um site para o outro. Sobre o ataque sofrido pelo usuário, assinale a afirmativa INCORRETA. 

As aplicações WEB facilitam consideravelmente o cotidiano dos usuários, automatizando cadastros, promovendo ambientes eletrônicos para compras e digitalizando diversos procedimentos que demandavam um tempo considerável para serem operacionalizados. Em um sistema eletrônico de vendas, uma medida protetiva e necessária para a aplicação é que o armazenamento de dados sensíveis como, por exemplo, o número de cartão de crédito, seja armazenado de forma criptografada, aumentando a segurança do dado sensível dentro da aplicação. Para minimizar os riscos de vulnerabilidades causadas pelo armazenamento inseguro de dados criptografados, são medidas que podem ser aplicadas de forma preventiva, EXCETO:

Em aplicações, WEB é uma prática comum a utilização de sessões para realizar o armazenamento do estado de uma aplicação; porém, geralmente, esse recurso realiza o procedimento no servidor web da aplicação e não no próprio navegador do usuário, como ocorre quando se utilizam os cookies. Um exemplo prático da utilização desse recurso em uma aplicação dessa natureza pode ser o armazenamento de dados sensíveis como usuário e e-mail em uma rotina de autenticação. Apesar das sessões utilizarem o servidor para a sua operacionalização, existem vulnerabilidades no mecanismo que podem ser exploradas pelos hackers para promover a quebra do gerenciamento da sessão de uma aplicação. Analise as afirmativas a seguir sobre práticas seguras para o gerenciamento de sessões.

I. Gerar um novo identificador de sessão quando houver uma nova autenticação.
II. Configurar o atributo “secure” para cookies transmitidos através de uma conexão TLS.
III. Configurar os cookies com o atributo “HttpOnly”, a menos que seja explicitamente necessário ler ou definir os valores dos mesmos através de scripts do lado cliente da aplicação.


Está correto o que se afirma em