Walace está fazendo uma verificação de segurança da empresa ...

Próximas questões
Com base no mesmo assunto
Q3035357
Segurança da Informação Segurança de sistemas de informação ,
Ano: 2024 Banca: FGV Órgão: TRF - 1ª REGIÃO Prova: FGV - 2024 - TRF - 1ª REGIÃO - Analista Judiciário - Área Apoio Especializado - Especialidade: Segurança da Informação |
Q3035357 Segurança da Informação
Walace está fazendo uma verificação de segurança da empresa X, onde trabalha na busca de alguma falha no controle de acesso das aplicações. Ele está seguindo o modelo OWASP, que indica algumas ferramentas que auxiliam nessa tarefa. Walace identificou adulteração do JSON Web Token (JWT) de controle de acesso para elevação de privilégios na aplicação.

Com isso, Walace teve a necessidade de implementar rapidamente a ação de prevenção: 
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta é a A - invalidar JSON Web Tokens (JWT) após o logout.

Vamos entender o contexto da questão. A segurança dos sistemas de informação é uma preocupação crescente, especialmente quando consideramos as vulnerabilidades que podem ser exploradas em aplicações web. No cenário apresentado, Walace está utilizando o modelo OWASP para identificar falhas na segurança, particularmente na utilização de JSON Web Tokens (JWT).

Os JSON Web Tokens (JWT) são um método amplamente utilizado para transmitir informações de maneira segura entre partes, principalmente em sistemas de autenticação. No entanto, se esses tokens não forem geridos corretamente, eles podem ser manipulados para permitir elevações de privilégio, concedendo acesso não autorizado a usuários mal-intencionados.

A alternativa A é correta porque invalidar JWTs após o logout é uma prática recomendada para evitar que tokens antigos possam ser reutilizados em tentativas de acessar a aplicação de forma não autorizada. Isso ajuda a garantir que, uma vez que o usuário encerra sua sessão, o token associado a essa sessão seja desativado, mitigando riscos de segurança.

Agora, vamos analisar por que as outras alternativas estão incorretas:

  • B - Corrigir ou atualizar todos os processadores e bibliotecas de XML: Embora esta seja uma boa prática para segurança geral, ela não está diretamente relacionada à prevenção de adulteração de JWTs.
  • C - Garantir que todos os dados em repouso sejam encriptados: A criptografia de dados em repouso é importante, mas não aborda diretamente o problema de manipulação de JWTs.
  • D - Desativar a cache para respostas que contenham dados sensíveis: Esta prática se relaciona à proteção de dados sensíveis, mas não é uma ação específica para lidar com adulteração de JWTs.
  • E - Restringir e monitorizar o tráfego de entrada e saída: Essa medida está mais ligada à segurança de rede e à desserialização, não especificamente à proteção de JWTs.

Compreender como prevenir e mitigar riscos associados a JWTs é crucial para qualquer profissional envolvido com segurança de sistemas de informação, especialmente em ambientes de aplicação web.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Se refere ao Broken Access Control.

Os tokens JWT sem estado devem ter vida curta, para que a janela de oportunidade para um invasor seja minimizada. Para JWTs de longa duração, é altamente recomendável seguir os padrões OAuth para revogar o acesso.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas