Julgue o item seguinte, a respeito das melhores práticas par...

Alternativa correta: C

A questão aborda as melhores práticas recomendadas pelo OWASP (Open Web Application Security Project) para lidar com componentes vulneráveis ou desatualizados em uma aplicação. Para resolver essa questão, é necessário ter conhecimento sobre como monitorar e gerenciar vulnerabilidades, utilizando fontes confiáveis.

O OWASP é uma organização sem fins lucrativos e amplamente reconhecida no campo da segurança de aplicações web. Ela fornece uma série de guias, ferramentas e recursos para melhorar a segurança das aplicações. Uma das suas recomendações é a monitoração contínua de fontes como o CVE (Common Vulnerabilities and Exposures) e o NVD (National Vulnerability Database).

CVE é um dicionário de vulnerabilidades conhecidas, utilizado para identificar e catalogar falhas de segurança. Já o NVD é um banco de dados mantido pelo governo dos Estados Unidos que complementa o CVE com maior detalhamento sobre as vulnerabilidades, incluindo métricas de gravidade e impacto potencial.

A alternativa que considera essa prática é a correta, pois o OWASP realmente recomenda que os responsáveis pela segurança de uma aplicação façam o monitoramento contínuo de fontes confiáveis de informações sobre vulnerabilidades. Isso é essencial para identificar rapidamente vulnerabilidades nos componentes usados na aplicação e tomar as medidas necessárias para mitigá-las.

Assim, a alternativa correta é a C, pois está de acordo com as recomendações do OWASP.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Gabarito: C

Owasp recomenda!

1. . OWASP (Open Web Application Security Project)O OWASP fornece uma lista chamada "OWASP Top 10", que enumera as principais vulnerabilidades de segurança em aplicações web.

Aqui estão alguns exemplos:Injeção de SQL (SQL Injection): Um atacante pode manipular uma consulta SQL para acessar dados não autorizados ou modificar o banco de dados. Exemplo: se uma aplicação permite que um usuário insira uma entrada sem validação adequada, o atacante pode inserir código SQL malicioso.Cross-Site Scripting (XSS): Permite que um atacante injete scripts maliciosos em páginas da web visualizadas por outros usuários. Exemplo: um formulário que aceita entradas de usuário e as exibe sem validar ou codificar a saída.Autenticação Quebrada: Falhas na autenticação podem permitir que atacantes comprometam senhas, chaves ou tokens de sessão. Exemplo: uma aplicação que permite senhas fracas ou não invalida tokens de sessão após logout.

2. CVE (Common Vulnerabilities and Exposures)CVE é um dicionário de vulnerabilidades de segurança conhecidas. Cada CVE tem um identificador único, por exemplo:CVE-2021-44228: Conhecido como "Log4Shell", é uma vulnerabilidade crítica de execução remota de código no Apache Log4j, um componente amplamente utilizado. Permite que um atacante execute código arbitrário enviando uma solicitação maliciosa.CVE-2017-5638: Essa vulnerabilidade foi encontrada no Apache Struts e permitia execução remota de código devido a uma falha no processamento de entradas não validadas em arquivos XML.

3. NVD (National Vulnerability Database)A NVD é uma base de dados do governo dos EUA que contém informações detalhadas sobre vulnerabilidades, incluindo as listadas no CVE, e fornece métricas como a pontuação CVSS (Common Vulnerability Scoring System). Alguns exemplos:CVE-2022-22965: Também conhecido como "Spring4Shell", essa vulnerabilidade está no framework Spring, permitindo execução remota de código.CVE-2020-1472: Conhecida como "ZeroLogon", afeta o Microsoft Netlogon, permitindo que um atacante sem autenticação se torne um administrador de domínio.Esses exemplos ilustram como OWASP se concentra nas práticas de segurança em desenvolvimento de software, enquanto CVE e NVD são focados em catalogar e descrever vulnerabilidades específicas que podem afetar diversos sistemas e softwares.

CERTO!

Essas fontes ajudam a identificar vulnerabilidades conhecidas nos componentes utilizados na aplicação, permitindo que sejam aplicadas atualizações e correções para mitigar riscos de segurança.