A aplicação Web SiCONTA viabiliza a recuperação de credencia...

Próximas questões
Com base no mesmo assunto
Q1978821
Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos ,
Ano: 2022 Banca: FGV Órgão: TCE-TO Prova: FGV - 2022 - TCE-TO - Auditor de Controle Externo - Tecnologia da Informação |
Q1978821 Segurança da Informação
A aplicação Web SiCONTA viabiliza a recuperação de credenciais de acesso por meio da conferência de respostas previamente cadastradas pelo usuário a questionamentos realizados a ele no processo de criação da credencial.
Considerando a metodologia Open Web Application Security Project (OWASP), a aplicação Web SiCONTA possui uma vulnerabilidade classificada na categoria:
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Vamos analisar a questão e entender o porquê da alternativa E - Identification and Authentication Failures ser a correta.

A questão aborda um cenário em que a aplicação web SiCONTA permite a recuperação de credenciais de acesso através da conferência de respostas previamente cadastradas pelo usuário. Isso remete diretamente a mecanismos de identificação e autenticação, que são partes cruciais da segurança da informação.

Segundo a metodologia Open Web Application Security Project (OWASP), vulnerabilidades relacionadas à falhas de identificação e autenticação são categorizadas como "Identification and Authentication Failures". Vamos detalhar as alternativas para entender melhor:

Alternativa E - Identification and Authentication Failures

Esta é a resposta correta. Ela engloba vulnerabilidades que permitem que atacantes comprometam senhas, chaves ou tokens de sessão, ou explorem outras falhas no processo de autenticação. No contexto da pergunta, a recuperação de credenciais baseada em respostas a perguntas é um mecanismo de autenticação que pode ser explorado se não implementado corretamente, levando à falha de identificação e autenticação.

Alternativa A - Broken Access Control

Essa categoria envolve falhas que permitem o acesso não autorizado a recursos ou funcionalidades. Embora o controle de acesso seja crucial, a questão específica foca na recuperação de credenciais, que está mais alinhada com identificação e autenticação, não com controle de acesso.

Alternativa B - Insecure Identification

Não há uma categoria específica "Insecure Identification" no OWASP. O OWASP trata falhas de identificação e autenticação de forma conjunta, portanto, esta alternativa não está correta. A terminologia correta para o contexto da questão é "Identification and Authentication Failures".

Alternativa C - Security Misconfiguration

Isso se refere a configurações de segurança inadequadas ou padrão que podem ser exploradas por atacantes. Embora importante, não é diretamente relacionado ao método de recuperação de credenciais descrito na questão.

Alternativa D - Insecure Design and Implementation

Embora o design e a implementação inseguros possam levar a várias vulnerabilidades, a categorização de OWASP específica para a questão seria "Identification and Authentication Failures". Portanto, essa alternativa não é a mais precisa.

Em resumo, a questão testa seu conhecimento sobre as categorias de vulnerabilidades do OWASP, especificamente sobre falhas de identificação e autenticação. A resposta correta é a Alternativa E porque trata de vulnerabilidades na recuperação de credenciais, um aspecto crítico de identificação e autenticação.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

A Broken Access Control;

ERRADO

O controle de acesso impõe a política de forma que os usuários não possam agir fora de suas permissões pretendidas. As falhas geralmente levam à divulgação, modificação ou destruição de informações não autorizadas de todos os dados ou à execução de uma função comercial fora dos limites do usuário.

B Insecure Identification;

ERRADO

Nem aparece na lista do OWASP

C Security Misconfiguration;

ERRADO

Este é o mais genérico da lista da OWASP, que traz problemas de manutenção, tais como:

  • Falta de proteção de segurança apropriada em qualquer parte da pilha de aplicativos ou permissões configuradas incorretamente em serviços de nuvem.
  • Recursos desnecessários são ativados ou instalados (por exemplo, portas, serviços, páginas, contas ou privilégios desnecessários).
  • As contas padrão e suas senhas ainda estão habilitadas e inalteradas.
  • O tratamento de erros revela rastreamentos de pilha ou outras mensagens de erro excessivamente informativas aos usuários.
  • Para sistemas atualizados, os recursos de segurança mais recentes são desabilitados ou não configurados com segurança.
  • As configurações de segurança nos servidores de aplicativos, estruturas de aplicativos (por exemplo, Struts, Spring, ASP.NET), bibliotecas, bancos de dados etc., não são definidas para valores seguros.
  • O servidor não envia cabeçalhos ou diretivas de segurança ou eles não estão configurados para valores seguros.
  • O software está desatualizado ou vulnerável

D Insecure Design and Implementation;

ERRADO

O nome correto é apenas "insecure design". O design inseguro é uma categoria ampla que representa diferentes pontos fracos, expressos como "design de controle ausente ou ineficaz". O design inseguro não é a fonte de todas as outras 10 categorias de risco. Há uma diferença entre design inseguro e implementação insegura. Um dos fatores que contribuem para o design inseguro é a falta de perfil de risco de negócios inerente ao software ou sistema que está sendo desenvolvido e, portanto, a falha em determinar qual nível de design de segurança é necessário.

E Identification and Authentication Failures.

CORRETO

A confirmação da identidade do usuário, autenticação e gerenciamento de sessão é fundamental para proteger contra ataques relacionados à autenticação.

  • Permite ataques automatizados, como preenchimento de credenciais, em que o invasor possui uma lista de nomes de usuários e senhas válidos.
  • Permite força bruta ou outros ataques automatizados.
  • Permite senhas padrão, fracas ou conhecidas
  • Usa recuperação de credenciais fraca ou ineficaz e processos de esquecimento de senha, como "respostas baseadas em conhecimento", que não podem ser seguras.
  • Tem autenticação multifator ausente ou ineficaz.
  • Expõe o identificador de sessão na URL.
  • Reutilize o identificador de sessão após o login bem-sucedido.
  • Não invalida corretamente os IDs de sessão.

Insecure design

  • A credential recovery workflow might include “questions and answers,” which is prohibited by NIST 800-63b

Eu iria nessa D ai

Confirmation of the user's identity, authentication, and session management is critical to protect against authentication-related attacks. There may be authentication weaknesses if the application:

(...)

Uses weak or ineffective credential recovery and forgot-password processes, such as "knowledge-based answers," which cannot be made safe.

(...)

https://owasp.org/Top10/A07_2021-Identification_and_Authentication_Failures/

Identification and Authentication Failures.

Usa recuperação de credenciais fraca ou ineficaz e processos de esquecimento de senha, como "respostas baseadas em conhecimento", que não podem ser seguras.

Bem questionável este gabarito, no meu enteder a correta é a letra D, Insecure Design, tem até este mesmo exemplo no site:

https://owasp.org/Top10/pt_BR/A04_2021-Insecure_Design/

Cenário #1

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas