No que se refere a OWASP Top 10, julgue o seguinte item.Secu...
No que se refere a OWASP Top 10, julgue o seguinte item.
Security misconfiguration indica que a aplicação pode estar
vulnerável devido à utilização de contas e senhas default que
estão habilitadas e ainda não foram alteradas.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Olá, aluno! Vamos abordar o tema dessa questão de concursos públicos sobre Segurança da Informação, focando no tópico Security Misconfiguration dentro do OWASP Top 10.
Gabarito: C - certo
A questão está correta ao afirmar que Security Misconfiguration indica que a aplicação pode estar vulnerável devido à utilização de contas e senhas default que estão habilitadas e não foram alteradas.
Para entender melhor, vamos detalhar o conceito:
Security Misconfiguration: Este termo refere-se a configurações de segurança inadequadas ou incorretas em uma aplicação ou sistema. Isso pode incluir a utilização de contas e senhas padrão, permissões excessivas, desativação de funcionalidades de segurança, etc. O OWASP Top 10, que é uma lista das dez vulnerabilidades mais críticas em aplicações web, destaca esse tipo de problema porque ele é comum e pode ser explorado por atacantes para comprometer a segurança da aplicação.
Vamos explorar mais profundamente alguns pontos da questão:
1. Contas e senhas default: Muitos sistemas e aplicações vêm com contas e senhas padrão (por exemplo, admin/admin). Se essas credenciais não forem alteradas antes de colocar o sistema em produção, um atacante pode facilmente acessá-las.
2. Habilitação inadvertida: É essencial que as configurações de segurança sejam revisadas e ajustadas conforme necessário. Deixar configurações padrão pode resultar em vulnerabilidades exploráveis.
Portanto, a alternativa C está correta porque:
- Ela aborda uma situação real e comum que se encaixa perfeitamente na definição de Security Misconfiguration.
Não há alternativas incorretas para justificar, pois a questão é de julgamento simples (certo ou errado). A resposta está correta ao considerar os aspectos críticos de configurações de segurança errôneas em uma aplicação.
Espero que essa explicação ajude a esclarecer o tema. Continue estudando firme e fique atento a esses conceitos de segurança, pois são frequentemente abordados em concursos públicos na área de TI.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Gab.: Certo
Risco 05 do OWASP 2021 - Security Misconfiguration (Falha na configuração da segurança):
O aplicativo poderá ficar vulnerável se:
- Faltar reforço de segurança apropriado em qualquer parte da pilha de aplicativos ou permissões configuradas incorretamente em serviços de nuvem.
- Recursos desnecessários são habilitados ou instalados (por exemplo, portas, serviços, páginas, contas ou privilégios desnecessários).
- As contas default e suas senhas ainda estão habilitadas e inalteradas.
- O tratamento de erros revela rastreamentos de pilha ou outras mensagens de erro excessivamente informativas aos usuários.
- Para sistemas atualizados, os recursos de segurança mais recentes estão desativados ou não configurados de forma segura.
- As configurações de segurança nos servidores de aplicativos, estruturas de aplicativos (por exemplo, Struts, Spring, ASP.NET), bibliotecas, bancos de dados, etc., não estão definidas com valores seguros.
- O servidor não envia cabeçalhos ou diretivas de segurança ou eles não estão configurados com valores seguros.
- O software está desatualizado ou vulnerável (consulte A06:2021-Componentes vulneráveis e desatualizados).
https://owasp.org/Top10/pt_BR/A05_2021-Security_Misconfiguration/
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo