No que se refere a OWASP Top 10, julgue o seguinte item.Secu...

Olá, aluno! Vamos abordar o tema dessa questão de concursos públicos sobre Segurança da Informação, focando no tópico Security Misconfiguration dentro do OWASP Top 10.

Gabarito: C - certo

A questão está correta ao afirmar que Security Misconfiguration indica que a aplicação pode estar vulnerável devido à utilização de contas e senhas default que estão habilitadas e não foram alteradas.

Para entender melhor, vamos detalhar o conceito:

Security Misconfiguration: Este termo refere-se a configurações de segurança inadequadas ou incorretas em uma aplicação ou sistema. Isso pode incluir a utilização de contas e senhas padrão, permissões excessivas, desativação de funcionalidades de segurança, etc. O OWASP Top 10, que é uma lista das dez vulnerabilidades mais críticas em aplicações web, destaca esse tipo de problema porque ele é comum e pode ser explorado por atacantes para comprometer a segurança da aplicação.

Vamos explorar mais profundamente alguns pontos da questão:

1. Contas e senhas default: Muitos sistemas e aplicações vêm com contas e senhas padrão (por exemplo, admin/admin). Se essas credenciais não forem alteradas antes de colocar o sistema em produção, um atacante pode facilmente acessá-las.

2. Habilitação inadvertida: É essencial que as configurações de segurança sejam revisadas e ajustadas conforme necessário. Deixar configurações padrão pode resultar em vulnerabilidades exploráveis.

Portanto, a alternativa C está correta porque:

- Ela aborda uma situação real e comum que se encaixa perfeitamente na definição de Security Misconfiguration.

Não há alternativas incorretas para justificar, pois a questão é de julgamento simples (certo ou errado). A resposta está correta ao considerar os aspectos críticos de configurações de segurança errôneas em uma aplicação.

Espero que essa explicação ajude a esclarecer o tema. Continue estudando firme e fique atento a esses conceitos de segurança, pois são frequentemente abordados em concursos públicos na área de TI.

Gab.: Certo

Risco 05 do OWASP 2021 - Security Misconfiguration (Falha na configuração da segurança):

O aplicativo poderá ficar vulnerável se:

• Faltar reforço de segurança apropriado em qualquer parte da pilha de aplicativos ou permissões configuradas incorretamente em serviços de nuvem.
• Recursos desnecessários são habilitados ou instalados (por exemplo, portas, serviços, páginas, contas ou privilégios desnecessários).
• As contas default e suas senhas ainda estão habilitadas e inalteradas.
• O tratamento de erros revela rastreamentos de pilha ou outras mensagens de erro excessivamente informativas aos usuários.
• Para sistemas atualizados, os recursos de segurança mais recentes estão desativados ou não configurados de forma segura.
• As configurações de segurança nos servidores de aplicativos, estruturas de aplicativos (por exemplo, Struts, Spring, ASP.NET), bibliotecas, bancos de dados, etc., não estão definidas com valores seguros.
• O servidor não envia cabeçalhos ou diretivas de segurança ou eles não estão configurados com valores seguros.
• O software está desatualizado ou vulnerável (consulte A06:2021-Componentes vulneráveis e desatualizados).

https://owasp.org/Top10/pt_BR/A05_2021-Security_Misconfiguration/