Aplicações web são o principal alvo de ataques de Agentes ...

Próximas questões
Com base no mesmo assunto
Q370105
Segurança da Informação Ataques e ameaças ,
Ano: 2014 Banca: IPAD Órgão: IPEM-PE Prova: IPAD - 2014 - IPEM-PE - Analista - Gestão em Metrologia e Qualidade Industrial - Sistemas Informatizados |
Q370105 Segurança da Informação
Aplicações web são o principal alvo de ataques de Agentes Maliciosos (hackers ilegais e crackers), devido à possibilidade de alcance rápido de altos ganhos e ao baixo risco de exposição do criminoso.

Dados de cartões de crédito; informações de clientes e de operações da empresa; roubos de identidades e outros dados sigilosos; informações sobre a infraestrutura de dados e vários outros podem ser usados para compor cenários de ataques com alto impacto. Segundo o Instituto Gartner (2009), mais de 75% dos problemas com segurança na internet são devidos a falhas exploráveis a partir das aplicações web. A maior parte das páginas web são naturalmente vulneráveis devido às tecnologias adotadas em sua concepção, à forma como são desenhadas e desenvolvidas, e ao uso de vários objetos e recursos, além da integração de outros sistemas, na medida em que são priorizados os aspectos funcionais que atendem a área de negócios, enquanto os requisitos de segurança ficam em segundo plano.

Analise as afirmativas a seguir:

I. SQL Injection - As falhas de Injeção, tais como injeção de SQL, de SO (Sistema Operacional) e de LDAP, ocorrem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta.;

II. Cross Site scripit - Através de um XSS, o Cracker injeta códigos JavaScriot em um campo texto de uma página já existente e este JavaSript é apresentado para outors usuários;;

III. Broken Authentication and Session Management - Responsável por 5% das ocorrências, as aplicações vulneráveis permitem burlar o processo de autenticação através de gestão fraca de sessão ou procedimentos inseguros ;

IV. Directory traversal - Tipo de ataque que faz com que uma aplicação web acesse uma arquivo não-desejado;

Assinale a alternativa correta:
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Alternativa correta: E - I, II, III e IV.

Para entender o porquê desta alternativa ser a correta, vamos primeiro discorrer sobre cada um dos tipos de ataque mencionados na questão:

  • SQL Injection: Este ataque explora vulnerabilidades de segurança que permitem ao atacante enviar ou "injetar" código não confiável em uma consulta SQL. O atacante pode obter acesso indevido a dados, comprometendo a integridade ou a disponibilidade destes.
  • Cross-Site Scripting (XSS): No XSS, um agente malicioso consegue injetar um código malicioso, geralmente em JavaScript, em uma página web. Este código pode ser executado no navegador de outros usuários, o que pode levar a roubo de sessões, defacement de sites, ou ataque a outros sistemas.
  • Broken Authentication and Session Management: Refere-se a sistemas que falham em proteger adequadamente as credenciais e as sessões dos usuários. Isso pode permitir que atacantes assumam identidades de usuários legítimos ou explorem a gestão de sessão para ganhar acesso não autorizado.
  • Directory Traversal: Um ataque de Directory Traversal permite ao atacante acessar arquivos que estão fora do diretório raiz da aplicação web. Isso pode levar ao acesso não autorizado a arquivos do sistema ou dados sensíveis.

Com base no entendimento dos ataques acima, podemos justificar a escolha da alternativa correta:

Na afirmativa I, a descrição do SQL Injection está correta. Na II, apesar de um pequeno erro de digitação, a descrição do Cross-Site Scripting está correta. A afirmativa III está correta ao mencionar que a autenticação quebrada e a gestão de sessão são responsáveis por uma parcela das ocorrências de segurança. Por fim, a afirmativa IV descreve corretamente o que é um ataque de Directory Traversal. Todas as afirmativas são corretas e, portanto, a alternativa E é a escolha correta, pois inclui todas as afirmativas.

Essa questão aborda conceitos essenciais de segurança em aplicações web, ilustrando a importância de estar atento a essas vulnerabilidades e a necessidade de incorporar a segurança desde as fases iniciais de design e desenvolvimento de uma aplicação, de forma a mitigar riscos de ataques e possíveis comprometimentos de dados sensíveis.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

A redação da assertiva IV, ao meu ver, ficou comprometida. Directory traversal é um exploit via HTTP que permite ao atacante acessar diretórios restritos e executar comandos fora do diretório no qual a aplicação web esteja rodando. Não faz sentido a existência de um exploit por algo que ele não deseja.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas