Considere que determinada empresa tenha imposto a implement...
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Olá, estudante! Vamos analisar a questão e compreender as alternativas.
Alternativa correta: A - quebra de controle de acesso.
Vamos entender por que essa é a resposta correta:
Quando uma empresa impõe uma política de segurança para garantir que os usuários não atuem fora das permissões estabelecidas, ela está implementando um mecanismo de controle de acesso. O objetivo é garantir que cada usuário possa acessar apenas os recursos para os quais tem permissão.
Se tal política for violada, significa que um usuário conseguiu acessar recursos para os quais não tinha permissão, caracterizando uma quebra de controle de acesso. Este tipo de vulnerabilidade está diretamente ligado à falha no sistema de controle de permissões e acessos.
Agora, vamos analisar por que as outras alternativas estão incorretas:
B - falsificação de solicitação no servidor: Essa vulnerabilidade, também conhecida como Cross-Site Request Forgery (CSRF), ocorre quando um atacante faz com que os usuários executem ações indesejadas em uma aplicação na qual estão autenticados. No entanto, isso não está relacionado ao cenário onde os usuários agem fora de suas permissões.
C - projeto/desenho inseguro: Refere-se a falhas no design ou arquitetura de um sistema que permitem vulnerabilidades. Embora um projeto inseguro possa levar a várias brechas, a questão específica fala sobre violação de permissões, que é mais especificamente tratado como uma quebra de controle de acesso.
D - componentes vulneráveis e desatualizados: Esta alternativa se refere a riscos associados ao uso de software ou componentes que não são mantidos atualizados com as últimas correções de segurança. Embora seja uma questão importante, não se relaciona diretamente com a violação de políticas de permissão.
E - falhas de identificação e autenticação: Essas falhas estão relacionadas a problemas em verificar corretamente a identidade dos usuários (identificação) ou permitir acesso baseado em autenticação inadequada. Enquanto problemas de identificação e autenticação são críticos, a questão é mais específica sobre permissões dentro de um sistema já autenticado.
Portanto, a alternativa correta é A - quebra de controle de acesso, pois descreve precisamente a vulnerabilidade que ocorre quando as permissões dos usuários são violadas.
Espero que esta explicação tenha esclarecido suas dúvidas. Continue estudando com foco e determinação!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Gab; A
A) quebra de controle de acesso.
A política descrita está relacionada ao controle de acesso, que define as permissões de usuários sobre recursos e ações dentro de um sistema ou aplicação. Quando essa política é violada, ou seja, quando usuários conseguem realizar ações ou acessar recursos para os quais não têm permissão, a vulnerabilidade associada é uma falha no sistema de controle de acesso.
A questão lista alguns dos riscos Top 10 da Owasp.
Se alguém ficou com dúvida na alternativa e):
Pelo OWASP:
A Quebra de Controle de Acesso (A01) está relacionada a restrições com base em suas permissões. Falhas nesse processo levam a divulgação, modificação ou destruição não autorizadas da informação.
Ou seja, viola o principío da Autorização.
Há outra categoria para o risco Falhas de Identificação e Autenticação (A07) que tem mais a ver com o processo de gerenciamento de sessões dos usuários contra ataques de personificação ou falsificação de identidade.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo