No que se refere a OWASP Top 10, julgue o seguinte item. Cry...

Para resolver a questão proposta, precisamos entender o conceito de OWASP Top 10 e, especificamente, o item referido como Cryptographic Failures (falhas criptográficas).

O OWASP Top 10 é uma lista publicada pela OWASP (Open Web Application Security Project) que identifica as dez principais preocupações de segurança em aplicações web. Cada item nessa lista representa um tipo de vulnerabilidade ou risco que deve ser considerado ao desenvolver ou manter aplicações seguras.

O termo Cryptographic Failures refere-se a problemas relacionados ao uso inadequado de criptografia. A criptografia é crucial para proteger dados em repouso ou em trânsito, garantindo que apenas partes autorizadas possam acessar ou modificar esses dados.

A questão aborda a diretiva de prevenção de Cryptographic Failures, afirmando que ela se preocupa em "bloquear o acesso a recursos internos de um ambiente, exceto aos recursos que realmente necessitem ser públicos". No entanto, essa declaração se refere mais ao controle de acesso do que a falhas criptográficas. O controle de acesso é um conceito mais amplo de segurança que trata da limitação do acesso a dados e funcionalidades somente a usuários autorizados.

Portanto, a afirmação dada na questão está errada (E), porque o foco de Cryptographic Failures é assegurar que a criptografia seja usada corretamente para proteger dados, e não o controle de acesso a recursos, que é uma preocupação mais relacionada a outro tipo de vulnerabilidade dentro da lista OWASP Top 10, como Security Misconfiguration ou Broken Access Control.

Para melhorar sua interpretação de questões como esta, preste atenção nas palavras-chave e no contexto em que elas são usadas. Identifique se a descrição está realmente alinhada com o conceito ou vulnerabilidade discutida.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Gab.: Errado

A descrição se refere ao Risco 01 do OWASP 2021 - Broken Access Control (Controle de acesso quebrado):

O controle de acesso só é eficaz em um código do lado do servidor ou em uma API sem servidor, onde o invasor não pode modificar a verificação de controle de acesso ou os metadados. Como previnir:

• Exceto para recursos públicos, negar por padrão.
• Implemente mecanismos de controle de acesso uma vez e reutilize-os em todo o aplicativo, inclusive minimizando o uso do Cross-Origin Resource Sharing (CORS).
• Os controles de acesso do modelo devem impor a propriedade do registro em vez de aceitar que o usuário possa criar, ler, atualizar ou excluir qualquer registro.
• Requisitos exclusivos de negócios devem ser impostos pelos modelos de domínio.
• Desative a listagem de diretórios do servidor web e certifique-se de que os metadados dos arquivos (por exemplo, .git) e os arquivos de backup não estejam presentes nas raízes da web.
• Registre falhas de controle de acesso e alerte os administradores quando for necessário (por exemplo, falhas repetidas).
• Limite de taxa de acesso à API e ao controlador para minimizar os danos causados por ferramentas de ataque automatizado.
• Os identificadores de sessão stateful (que armazenam o estado) devem ser invalidados no servidor após o logout. Os tokens JWT stateless (que não armazenam o estado) devem ter vida curta para que a janela de oportunidade para um invasor seja minimizada. Para JWTs de longa duração, é altamente recomendável seguir os padrões OAuth para revogar o acesso.

Gab: Errado.

Pensei no HTTPS que é criptografado e usado em websites disponíveis para a Internet.

Com isso matei a questão...

Cryptographic failures ---> as falhas criptográficas ocorrem onde os invasores geralmente visam dados confidenciais, como senhas, números de cartão de crédito e informações pessoais, quando você não os protege adequadamente. Esta é a causa raiz da exposição de dados confidenciais.

https://www.pentestpeople.com/blog-posts/owasp-top-ten-cryptographic-failures#:~:text=What%20is%20Cryptographic%20Failure%3F,cause%20of%20sensitive%20data%20exposure.

Gab. Errado.

"Cryptographic Failures" no contexto do OWASP Top 10 refere-se a problemas que ocorrem quando criptografia é utilizada de forma inadequada, o que pode incluir a falta de criptografia ou a utilização de algoritmos, chaves ou protocolos inseguros. As diretrizes de prevenção para "Cryptographic Failures" focam em:

1. Utilização de criptografia forte: Usar algoritmos e chaves criptográficas que sejam atualmente considerados seguros.
2. Proteção de dados sensíveis: Criptografar dados sensíveis tanto em repouso quanto em trânsito.
3. Gestão de chaves segura: Garantir que as chaves criptográficas sejam gerenciadas de forma segura.
4. Uso de bibliotecas e padrões seguros: Adotar bibliotecas criptográficas bem testadas e seguras, e seguir padrões recomendados.

A diretiva mencionada na afirmação, que é "bloquear o acesso a recursos internos de um ambiente, exceto aos recursos que realmente necessitem ser públicos", está mais relacionada ao controle de acesso e à segurança de rede, não especificamente à prevenção de falhas criptográficas.

Portanto, a afirmação está incorreta em relação à descrição e à diretiva de prevenção do item "Cryptographic Failures" do OWASP Top 10.