A analista Lara foi incumbida de revisar a segurança de det...
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Vamos analisar a questão e verificar a alternativa correta, explicando também o porquê das outras alternativas estarem incorretas.
Alternativa correta: C - Quebra de Controle de Acesso
A questão menciona que Lara se concentrou na revisão da segurança, buscando violações ao princípio da negação por padrão. Esse princípio está diretamente relacionado ao controle de acesso, onde, por padrão, o acesso deve ser negado e apenas concedido explicitamente quando necessário. A primeira categoria do OWASP Top 10 2021 é justamente Quebra de Controle de Acesso.
Vamos detalhar o porquê disso:
Quebra de Controle de Acesso: Esta categoria do OWASP Top 10 2021 aborda situações onde um sistema não aplica corretamente as restrições de acesso, permitindo que usuários não autorizados acessem recursos que deveriam ser protegidos. A "negação por padrão" é um conceito crucial aqui, pois estabelece que o acesso deve ser restrito a menos que explicitamente permitido. Portanto, quando Lara se concentra neste princípio, ela está de fato revisando a categoria de quebra de controle de acesso.
Agora, vamos ver as alternativas incorretas:
A - Injeção: Esta categoria refere-se a falhas onde dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta. Exemplos comuns incluem injeção de SQL, injeção de comandos, etc. Embora seja um problema de segurança crítico, não está diretamente relacionado ao princípio de "negação por padrão".
B - Falhas Criptográficas: Esta categoria abrange problemas relacionados à proteção inadequada de dados através de criptografia, como o uso de algoritmos fracos ou a má implementação dos mesmos. Novamente, não tem relação direta com o princípio de negação por padrão.
D - Configuração Incorreta de Segurança: Esta categoria abrange falhas que ocorrem quando as configurações de segurança de sistemas não são implementadas ou mantidas corretamente. Embora possa envolver permissões inadequadas, o foco principal aqui não é a negação por padrão.
E - Falhas de Identificação e Autenticação: Esta categoria abrange problemas relacionados à autenticidade das identidades dos usuários e ao processo de autenticação, como senhas fracas ou mecanismos de login inseguros. Não aborda diretamente o princípio de negação por padrão.
Portanto, ao revisar as falhas de segurança com foco na negação por padrão, Lara está abordando a categoria Quebra de Controle de Acesso, explicando por que a alternativa correta é a C.
Espero que esta explicação tenha ajudado a entender melhor o tema. Se tiver mais dúvidas, sinta-se à vontade para perguntar!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
O OWASP Top 10 é uma lista das dez vulnerabilidades de segurança de software mais críticas. A lista é atualizada a cada dois anos para refletir as últimas ameaças à segurança. As vulnerabilidades do OWASP Top 10 2021 são:
Falhas de controle de acesso
Falhas de criptografia
Injeção
Design inseguro
Configuração insegura
Componentes vulneráveis e desatualizados
Sessões e autenticação inseguras
Gerenciamento de dados sensíveis
Ataques de rede
Recursos de segurança ausentes
Quebra de Controle de Acesso; Gabarito correto letra C !
Quebra de controle de acesso.
Violação do princípio de privilégio mínimo ou negação por padrão, onde o acesso deve ser concedido apenas para determinados recursos, funções ou usuários, mas está disponível para qualquer pessoa.
https://owasp.org/Top10/pt_BR/A01_2021-Broken_Access_Control/
Gabarito é para ser Letra C
c-
A01 Broken Access Control
Access control enforces policy such that users cannot act outside of their intended permissions. Failures typically lead to unauthorized information disclosure, modification, or destruction of all data or performing a business function outside the user's limits. Common access control vulnerabilities include:
Violation of the principle of least privilege or deny by default, where access should only be granted for particular capabilities, roles, or users, but is available to anyone.
Bypassing access control checks by modifying the URL (parameter tampering or force browsing), internal application state, or the HTML page, or by using an attack tool modifying API requests.
Permitting viewing or editing someone else's account, by providing its unique identifier (insecure direct object references)
Accessing API with missing access controls for POST, PUT and DELETE.
https://owasp.org/Top10/A01_2021-Broken_Access_Control/
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo