No que se refere a OWASP Top 10, julgue o seguinte item. Cry...

Próximas questões
Com base no mesmo assunto
Q2275411 Segurança da Informação
No que se refere a OWASP Top 10, julgue o seguinte item.

Cryptographic failures tem como diretiva de prevenção bloquear o acesso a recursos internos de um ambiente, exceto aos recursos que realmente necessitem ser públicos, como websites disponíveis para a Internet. 

Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Alternativa Correta: E - Errado

Vamos entender o porquê dessa alternativa estar correta.

OWASP Top 10 é um documento que lista as 10 principais vulnerabilidades de segurança em aplicações web. É uma referência essencial para desenvolvedores, arquitetos e profissionais de segurança da informação, pois aborda as falhas mais críticas e fornece diretrizes para mitigá-las.

No contexto da questão, a vulnerabilidade em foco é Cryptographic Failures (antiga Sensitive Data Exposure). Essa categoria trata de problemas relacionados ao uso inadequado de criptografia, que pode resultar em exposição de dados sensíveis.

É importante destacar que a diretiva de prevenção para Cryptographic Failures envolve práticas como:

  • Uso de algoritmos de criptografia adequados e atualizados.
  • Gerenciamento seguro de chaves criptográficas.
  • Transmissão segura de dados sensíveis.
  • Armazenamento seguro de dados criptografados.

A questão afirma que a diretiva de prevenção para Cryptographic Failures é "bloquear o acesso a recursos internos de um ambiente, exceto aos recursos que realmente necessitem ser públicos, como websites disponíveis para a Internet". Essa afirmação está incorreta, pois essa ação é mais relacionada a práticas de configuração segura de acesso e controle de acesso, que não são diretamente associadas com a categoria de Cryptographic Failures.

Explicação da Alternativa Correta:

  • A alternativa é E - Errado porque a declaração não descreve as diretivas de prevenção específicas para Cryptographic Failures, mas sim práticas gerais de segurança de controle de acesso.

Espero que essa explicação tenha ajudado a entender melhor o tema abordado na questão. Se ainda tiver dúvidas, sinta-se à vontade para perguntar!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Gab.: Errado

A descrição se refere ao Risco 01 do OWASP 2021 - Broken Access Control (Controle de acesso quebrado):

O controle de acesso só é eficaz em um código do lado do servidor ou em uma API sem servidor, onde o invasor não pode modificar a verificação de controle de acesso ou os metadados. Como previnir:

  • Exceto para recursos públicos, negar por padrão.
  • Implemente mecanismos de controle de acesso uma vez e reutilize-os em todo o aplicativo, inclusive minimizando o uso do Cross-Origin Resource Sharing (CORS).
  • Os controles de acesso do modelo devem impor a propriedade do registro em vez de aceitar que o usuário possa criar, ler, atualizar ou excluir qualquer registro.
  • Requisitos exclusivos de negócios devem ser impostos pelos modelos de domínio.
  • Desative a listagem de diretórios do servidor web e certifique-se de que os metadados dos arquivos (por exemplo, .git) e os arquivos de backup não estejam presentes nas raízes da web.
  • Registre falhas de controle de acesso e alerte os administradores quando for necessário (por exemplo, falhas repetidas).
  • Limite de taxa de acesso à API e ao controlador para minimizar os danos causados por ferramentas de ataque automatizado.
  • Os identificadores de sessão stateful (que armazenam o estado) devem ser invalidados no servidor após o logout. Os tokens JWT stateless (que não armazenam o estado) devem ter vida curta para que a janela de oportunidade para um invasor seja minimizada. Para JWTs de longa duração, é altamente recomendável seguir os padrões OAuth para revogar o acesso.

Gab: Errado.

Pensei no HTTPS que é criptografado e usado em websites disponíveis para a Internet.

Com isso matei a questão...

Cryptographic failures ---> as falhas criptográficas ocorrem onde os invasores geralmente visam dados confidenciais, como senhas, números de cartão de crédito e informações pessoais, quando você não os protege adequadamente. Esta é a causa raiz da exposição de dados confidenciais.

https://www.pentestpeople.com/blog-posts/owasp-top-ten-cryptographic-failures#:~:text=What%20is%20Cryptographic%20Failure%3F,cause%20of%20sensitive%20data%20exposure.

Gab. Errado.

"Cryptographic Failures" no contexto do OWASP Top 10 refere-se a problemas que ocorrem quando criptografia é utilizada de forma inadequada, o que pode incluir a falta de criptografia ou a utilização de algoritmos, chaves ou protocolos inseguros. As diretrizes de prevenção para "Cryptographic Failures" focam em:

  1. Utilização de criptografia forte: Usar algoritmos e chaves criptográficas que sejam atualmente considerados seguros.
  2. Proteção de dados sensíveis: Criptografar dados sensíveis tanto em repouso quanto em trânsito.
  3. Gestão de chaves segura: Garantir que as chaves criptográficas sejam gerenciadas de forma segura.
  4. Uso de bibliotecas e padrões seguros: Adotar bibliotecas criptográficas bem testadas e seguras, e seguir padrões recomendados.

A diretiva mencionada na afirmação, que é "bloquear o acesso a recursos internos de um ambiente, exceto aos recursos que realmente necessitem ser públicos", está mais relacionada ao controle de acesso e à segurança de rede, não especificamente à prevenção de falhas criptográficas.

Portanto, a afirmação está incorreta em relação à descrição e à diretiva de prevenção do item "Cryptographic Failures" do OWASP Top 10.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo