No que se refere a OWASP Top 10, julgue o seguinte item. Cry...
Cryptographic failures tem como diretiva de prevenção bloquear o acesso a recursos internos de um ambiente, exceto aos recursos que realmente necessitem ser públicos, como websites disponíveis para a Internet.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Alternativa Correta: E - Errado
Vamos entender o porquê dessa alternativa estar correta.
OWASP Top 10 é um documento que lista as 10 principais vulnerabilidades de segurança em aplicações web. É uma referência essencial para desenvolvedores, arquitetos e profissionais de segurança da informação, pois aborda as falhas mais críticas e fornece diretrizes para mitigá-las.
No contexto da questão, a vulnerabilidade em foco é Cryptographic Failures (antiga Sensitive Data Exposure). Essa categoria trata de problemas relacionados ao uso inadequado de criptografia, que pode resultar em exposição de dados sensíveis.
É importante destacar que a diretiva de prevenção para Cryptographic Failures envolve práticas como:
- Uso de algoritmos de criptografia adequados e atualizados.
- Gerenciamento seguro de chaves criptográficas.
- Transmissão segura de dados sensíveis.
- Armazenamento seguro de dados criptografados.
A questão afirma que a diretiva de prevenção para Cryptographic Failures é "bloquear o acesso a recursos internos de um ambiente, exceto aos recursos que realmente necessitem ser públicos, como websites disponíveis para a Internet". Essa afirmação está incorreta, pois essa ação é mais relacionada a práticas de configuração segura de acesso e controle de acesso, que não são diretamente associadas com a categoria de Cryptographic Failures.
Explicação da Alternativa Correta:
- A alternativa é E - Errado porque a declaração não descreve as diretivas de prevenção específicas para Cryptographic Failures, mas sim práticas gerais de segurança de controle de acesso.
Espero que essa explicação tenha ajudado a entender melhor o tema abordado na questão. Se ainda tiver dúvidas, sinta-se à vontade para perguntar!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Gab.: Errado
A descrição se refere ao Risco 01 do OWASP 2021 - Broken Access Control (Controle de acesso quebrado):
O controle de acesso só é eficaz em um código do lado do servidor ou em uma API sem servidor, onde o invasor não pode modificar a verificação de controle de acesso ou os metadados. Como previnir:
- Exceto para recursos públicos, negar por padrão.
- Implemente mecanismos de controle de acesso uma vez e reutilize-os em todo o aplicativo, inclusive minimizando o uso do Cross-Origin Resource Sharing (CORS).
- Os controles de acesso do modelo devem impor a propriedade do registro em vez de aceitar que o usuário possa criar, ler, atualizar ou excluir qualquer registro.
- Requisitos exclusivos de negócios devem ser impostos pelos modelos de domínio.
- Desative a listagem de diretórios do servidor web e certifique-se de que os metadados dos arquivos (por exemplo, .git) e os arquivos de backup não estejam presentes nas raízes da web.
- Registre falhas de controle de acesso e alerte os administradores quando for necessário (por exemplo, falhas repetidas).
- Limite de taxa de acesso à API e ao controlador para minimizar os danos causados por ferramentas de ataque automatizado.
- Os identificadores de sessão stateful (que armazenam o estado) devem ser invalidados no servidor após o logout. Os tokens JWT stateless (que não armazenam o estado) devem ter vida curta para que a janela de oportunidade para um invasor seja minimizada. Para JWTs de longa duração, é altamente recomendável seguir os padrões OAuth para revogar o acesso.
Gab: Errado.
Pensei no HTTPS que é criptografado e usado em websites disponíveis para a Internet.
Com isso matei a questão...
Cryptographic failures ---> as falhas criptográficas ocorrem onde os invasores geralmente visam dados confidenciais, como senhas, números de cartão de crédito e informações pessoais, quando você não os protege adequadamente. Esta é a causa raiz da exposição de dados confidenciais.
https://www.pentestpeople.com/blog-posts/owasp-top-ten-cryptographic-failures#:~:text=What%20is%20Cryptographic%20Failure%3F,cause%20of%20sensitive%20data%20exposure.
Gab. Errado.
"Cryptographic Failures" no contexto do OWASP Top 10 refere-se a problemas que ocorrem quando criptografia é utilizada de forma inadequada, o que pode incluir a falta de criptografia ou a utilização de algoritmos, chaves ou protocolos inseguros. As diretrizes de prevenção para "Cryptographic Failures" focam em:
- Utilização de criptografia forte: Usar algoritmos e chaves criptográficas que sejam atualmente considerados seguros.
- Proteção de dados sensíveis: Criptografar dados sensíveis tanto em repouso quanto em trânsito.
- Gestão de chaves segura: Garantir que as chaves criptográficas sejam gerenciadas de forma segura.
- Uso de bibliotecas e padrões seguros: Adotar bibliotecas criptográficas bem testadas e seguras, e seguir padrões recomendados.
A diretiva mencionada na afirmação, que é "bloquear o acesso a recursos internos de um ambiente, exceto aos recursos que realmente necessitem ser públicos", está mais relacionada ao controle de acesso e à segurança de rede, não especificamente à prevenção de falhas criptográficas.
Portanto, a afirmação está incorreta em relação à descrição e à diretiva de prevenção do item "Cryptographic Failures" do OWASP Top 10.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo