Controles e Testes de Segurança são objeto de atenção do de...

Alternativa correta: C - Entenda o assunto em questão (Understand the Subject).

A segurança em aplicações web é uma área crítica na engenharia de software, e o Open Web Application Security Project (OWASP) é uma autoridade no assunto, fornecendo diretrizes e práticas recomendadas para o desenvolvimento e os testes de segurança. O OWASP Testing Guide é um recurso essencial para quem desenvolve para a web e busca garantir que as aplicações sejam seguras e confiáveis.

A alternativa C é a correta porque no contexto dos testes de segurança, entender os sistemas, suas funcionalidades, os dados que processam e o contexto em que operam é fundamental para garantir que todos os aspectos de segurança sejam adequadamente testados e protegidos. Entender o assunto em questão é um princípio que enfatiza a importância de uma compreensão aprofundada do que está sendo testado. Isso significa conhecer as especificidades da aplicação, o ambiente de operação e o perfil de possíveis ameaças, o que permite planejar e executar testes de segurança mais eficazes.

Essa abordagem é preferível em comparação com a realização de testes genéricos ou superficiais que podem não cobrir riscos específicos ou particularidades do sistema em questão. Ao mergulhar no entendimento do sistema, os desenvolvedores e testadores de segurança podem identificar e priorizar os riscos de maneira mais eficiente, o que resulta em uma cobertura de teste mais completa e em um nível de segurança mais elevado.

As demais alternativas não representam princípios do OWASP Testing Guide 4.0. Por exemplo, "Teste tardia e frequentemente" não é uma prática recomendada, já que o ideal é integrar os testes de segurança o mais cedo possível no ciclo de desenvolvimento (shift left). Desenvolver testes de caixa preta é uma técnica de teste, mas não um princípio em si, assim como documentar o resultado das métricas é uma prática importante, porém não é citada como um princípio do guia em questão.

Portanto, ao se preparar para questões de concursos públicos que envolvem segurança em aplicações web, é essencial familiarizar-se com os recursos oferecidos pelo OWASP, incluindo o Testing Guide, e compreender seus princípios fundamentais, como a importância de entender profundamente o sistema que está sendo testado para garantir a eficácia dos testes de segurança.

Todos os princípios estão aqui:

https://www.owasp.org/index.php/Testing_Guide_Introduction#Principles_of_Testing

Go @head!!!!

Pense Estrategicamente NÃO Tecnicamente....

Entenda o assunto...

Não há bala de prata

Embora seja tentador pensar que um scanner de segurança ou firewall de aplicativo fornecerá muitas defesas contra ataques ou identificará uma infinidade de problemas, na realidade não existe solução mágica para o problema do software inseguro. O software de avaliação de segurança de aplicativos, embora útil como um primeiro passo para encontrar frutas ao alcance da mão, é geralmente imaturo e ineficaz em avaliações aprofundadas ou em fornecer cobertura de teste adequada. Lembre-se de que segurança é um processo e não um produto.

Pense estrategicamente, não taticamente

O SDLC é Rei

O SDLC é um processo bem conhecido dos desenvolvedores. Ao integrar a segurança em cada fase do SDLC, permite uma abordagem holística à segurança do aplicativo que alavanca os procedimentos já implementados na organização. Esteja ciente de que, embora os nomes das várias fases possam mudar dependendo do modelo SDLC usado por uma organização, cada fase conceitual do arquétipo SDLC será usada para desenvolver o aplicativo (ou seja, definir, projetar, desenvolver, implantar, manter). Cada fase tem considerações de segurança que devem se tornar parte do processo existente, para garantir um programa de segurança abrangente e econômico.

Teste cedo e teste frequentemente

Entenda o escopo da segurança

Desenvolva a mentalidade certa

Entenda o assunto

Use as ferramentas certas

O diabo está nos detalhes

É fundamental não realizar uma análise superficial de segurança de um aplicativo e considerá-lo completo. Isso vai incutir uma falsa sensação de confiança que pode ser tão perigosa quanto não ter feito uma análise de segurança em primeiro lugar. É vital revisar cuidadosamente as descobertas e eliminar qualquer falso positivo que possa permanecer no relatório. Relatar uma descoberta de segurança incorreta pode frequentemente prejudicar a mensagem válida do restante de um relatório de segurança. Deve-se ter cuidado para verificar se todas as seções possíveis da lógica do aplicativo foram testadas e se todos os cenários de caso de uso foram explorados em busca de possíveis vulnerabilidades.

Use o código-fonte quando disponível

Desenvolver métricas

Documentar os resultados do teste

"Entenda o assunto em questão" ¬¬

É o que eu estou tentando fazer, não precisa jogar na cara. kkkkkkk

Understand the Subject - One of the first major initiatives in any good security program should be to require accurate documentation of the application. The architecture,data-flow diagrams, use cases, etc, should be written in formal documents and made available for review. The technical specification and application documents should include information that lists not only the desired use cases, but also any specifically disallowed use case. Finally, it is good to have at least a basic security infrastructure that allows the monitoring and trending of attacks against an organization’s applications and network (e.g., IDS systems).

https://owasp.org/www-project-web-security-testing-guide/