No que se refere a OWASP Top 10, julgue o seguinte item. Cry...
Cryptographic failures tem como diretiva de prevenção bloquear o acesso a recursos internos de um ambiente, exceto aos recursos que realmente necessitem ser públicos, como websites disponíveis para a Internet.
Comentários
Veja os comentários dos nossos alunos
Gab.: Errado
A descrição se refere ao Risco 01 do OWASP 2021 - Broken Access Control (Controle de acesso quebrado):
O controle de acesso só é eficaz em um código do lado do servidor ou em uma API sem servidor, onde o invasor não pode modificar a verificação de controle de acesso ou os metadados. Como previnir:
- Exceto para recursos públicos, negar por padrão.
- Implemente mecanismos de controle de acesso uma vez e reutilize-os em todo o aplicativo, inclusive minimizando o uso do Cross-Origin Resource Sharing (CORS).
- Os controles de acesso do modelo devem impor a propriedade do registro em vez de aceitar que o usuário possa criar, ler, atualizar ou excluir qualquer registro.
- Requisitos exclusivos de negócios devem ser impostos pelos modelos de domínio.
- Desative a listagem de diretórios do servidor web e certifique-se de que os metadados dos arquivos (por exemplo, .git) e os arquivos de backup não estejam presentes nas raízes da web.
- Registre falhas de controle de acesso e alerte os administradores quando for necessário (por exemplo, falhas repetidas).
- Limite de taxa de acesso à API e ao controlador para minimizar os danos causados por ferramentas de ataque automatizado.
- Os identificadores de sessão stateful (que armazenam o estado) devem ser invalidados no servidor após o logout. Os tokens JWT stateless (que não armazenam o estado) devem ter vida curta para que a janela de oportunidade para um invasor seja minimizada. Para JWTs de longa duração, é altamente recomendável seguir os padrões OAuth para revogar o acesso.
Gab: Errado.
Pensei no HTTPS que é criptografado e usado em websites disponíveis para a Internet.
Com isso matei a questão...
Cryptographic failures ---> as falhas criptográficas ocorrem onde os invasores geralmente visam dados confidenciais, como senhas, números de cartão de crédito e informações pessoais, quando você não os protege adequadamente. Esta é a causa raiz da exposição de dados confidenciais.
https://www.pentestpeople.com/blog-posts/owasp-top-ten-cryptographic-failures#:~:text=What%20is%20Cryptographic%20Failure%3F,cause%20of%20sensitive%20data%20exposure.
Gab. Errado.
"Cryptographic Failures" no contexto do OWASP Top 10 refere-se a problemas que ocorrem quando criptografia é utilizada de forma inadequada, o que pode incluir a falta de criptografia ou a utilização de algoritmos, chaves ou protocolos inseguros. As diretrizes de prevenção para "Cryptographic Failures" focam em:
- Utilização de criptografia forte: Usar algoritmos e chaves criptográficas que sejam atualmente considerados seguros.
- Proteção de dados sensíveis: Criptografar dados sensíveis tanto em repouso quanto em trânsito.
- Gestão de chaves segura: Garantir que as chaves criptográficas sejam gerenciadas de forma segura.
- Uso de bibliotecas e padrões seguros: Adotar bibliotecas criptográficas bem testadas e seguras, e seguir padrões recomendados.
A diretiva mencionada na afirmação, que é "bloquear o acesso a recursos internos de um ambiente, exceto aos recursos que realmente necessitem ser públicos", está mais relacionada ao controle de acesso e à segurança de rede, não especificamente à prevenção de falhas criptográficas.
Portanto, a afirmação está incorreta em relação à descrição e à diretiva de prevenção do item "Cryptographic Failures" do OWASP Top 10.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo