Considere que determinada empresa tenha imposto a implement...

Próximas questões
Com base no mesmo assunto
Q2383467 Segurança da Informação
Considere que determinada empresa tenha imposto a implementação de uma política na qual os usuários não pudessem agir fora das permissões pretendidas. Nesse caso, se essa política for violada, a vulnerabilidade associada a essa violação será denominada
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Olá, estudante! Vamos analisar a questão e compreender as alternativas.

Alternativa correta: A - quebra de controle de acesso.

Vamos entender por que essa é a resposta correta:

Quando uma empresa impõe uma política de segurança para garantir que os usuários não atuem fora das permissões estabelecidas, ela está implementando um mecanismo de controle de acesso. O objetivo é garantir que cada usuário possa acessar apenas os recursos para os quais tem permissão.

Se tal política for violada, significa que um usuário conseguiu acessar recursos para os quais não tinha permissão, caracterizando uma quebra de controle de acesso. Este tipo de vulnerabilidade está diretamente ligado à falha no sistema de controle de permissões e acessos.

Agora, vamos analisar por que as outras alternativas estão incorretas:

B - falsificação de solicitação no servidor: Essa vulnerabilidade, também conhecida como Cross-Site Request Forgery (CSRF), ocorre quando um atacante faz com que os usuários executem ações indesejadas em uma aplicação na qual estão autenticados. No entanto, isso não está relacionado ao cenário onde os usuários agem fora de suas permissões.

C - projeto/desenho inseguro: Refere-se a falhas no design ou arquitetura de um sistema que permitem vulnerabilidades. Embora um projeto inseguro possa levar a várias brechas, a questão específica fala sobre violação de permissões, que é mais especificamente tratado como uma quebra de controle de acesso.

D - componentes vulneráveis e desatualizados: Esta alternativa se refere a riscos associados ao uso de software ou componentes que não são mantidos atualizados com as últimas correções de segurança. Embora seja uma questão importante, não se relaciona diretamente com a violação de políticas de permissão.

E - falhas de identificação e autenticação: Essas falhas estão relacionadas a problemas em verificar corretamente a identidade dos usuários (identificação) ou permitir acesso baseado em autenticação inadequada. Enquanto problemas de identificação e autenticação são críticos, a questão é mais específica sobre permissões dentro de um sistema já autenticado.

Portanto, a alternativa correta é A - quebra de controle de acesso, pois descreve precisamente a vulnerabilidade que ocorre quando as permissões dos usuários são violadas.

Espero que esta explicação tenha esclarecido suas dúvidas. Continue estudando com foco e determinação!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Gab; A

A) quebra de controle de acesso.

A política descrita está relacionada ao controle de acesso, que define as permissões de usuários sobre recursos e ações dentro de um sistema ou aplicação. Quando essa política é violada, ou seja, quando usuários conseguem realizar ações ou acessar recursos para os quais não têm permissão, a vulnerabilidade associada é uma falha no sistema de controle de acesso.

A questão lista alguns dos riscos Top 10 da Owasp.

Se alguém ficou com dúvida na alternativa e):

Pelo OWASP:

A Quebra de Controle de Acesso (A01) está relacionada a restrições com base em suas permissões. Falhas nesse processo levam a divulgação, modificação ou destruição não autorizadas da informação.

Ou seja, viola o principío da Autorização.

Há outra categoria para o risco Falhas de Identificação e Autenticação (A07) que tem mais a ver com o processo de gerenciamento de sessões dos usuários contra ataques de personificação ou falsificação de identidade.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo