A analista Lara foi incumbida de revisar a segurança de det...

Com base no mesmo assunto

Q2220292

Ano: 2023 Banca: FGV Órgão: DPE-RS Prova: FGV - 2023 - DPE-RS - Analista - Área de Apoio Especializado - Tecnologia da Informação |

Q2220292 Segurança da Informação

A analista Lara foi incumbida de revisar a segurança de determinado aplicativo, devendo considerar as descrições e recomendações do ranking de falhas de software Open Worldwide Application Security Project (OWASP) Top 10 2021. Lara concentrou a revisão na busca por violações ao princípio da negação por padrão, conforme descrição da primeira categoria do ranking. Sendo assim, Lara concentrou a revisão de segurança nas falhas relacionadas à categoria do OWASP Top 10 2021:

Injeção;

Falhas Criptográficas;

Quebra de Controle de Acesso;

Configuração Incorreta de Segurança;

Falhas de Identificação e Autenticação.

Você errou! Resposta:

teste

Parabéns! Você acertou!

teste

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Vamos analisar a questão e verificar a alternativa correta, explicando também o porquê das outras alternativas estarem incorretas.

Alternativa correta: C - Quebra de Controle de Acesso

A questão menciona que Lara se concentrou na revisão da segurança, buscando violações ao princípio da negação por padrão. Esse princípio está diretamente relacionado ao controle de acesso, onde, por padrão, o acesso deve ser negado e apenas concedido explicitamente quando necessário. A primeira categoria do OWASP Top 10 2021 é justamente Quebra de Controle de Acesso.

Vamos detalhar o porquê disso:

Quebra de Controle de Acesso: Esta categoria do OWASP Top 10 2021 aborda situações onde um sistema não aplica corretamente as restrições de acesso, permitindo que usuários não autorizados acessem recursos que deveriam ser protegidos. A "negação por padrão" é um conceito crucial aqui, pois estabelece que o acesso deve ser restrito a menos que explicitamente permitido. Portanto, quando Lara se concentra neste princípio, ela está de fato revisando a categoria de quebra de controle de acesso.

Agora, vamos ver as alternativas incorretas:

A - Injeção: Esta categoria refere-se a falhas onde dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta. Exemplos comuns incluem injeção de SQL, injeção de comandos, etc. Embora seja um problema de segurança crítico, não está diretamente relacionado ao princípio de "negação por padrão".

B - Falhas Criptográficas: Esta categoria abrange problemas relacionados à proteção inadequada de dados através de criptografia, como o uso de algoritmos fracos ou a má implementação dos mesmos. Novamente, não tem relação direta com o princípio de negação por padrão.

D - Configuração Incorreta de Segurança: Esta categoria abrange falhas que ocorrem quando as configurações de segurança de sistemas não são implementadas ou mantidas corretamente. Embora possa envolver permissões inadequadas, o foco principal aqui não é a negação por padrão.

E - Falhas de Identificação e Autenticação: Esta categoria abrange problemas relacionados à autenticidade das identidades dos usuários e ao processo de autenticação, como senhas fracas ou mecanismos de login inseguros. Não aborda diretamente o princípio de negação por padrão.

Portanto, ao revisar as falhas de segurança com foco na negação por padrão, Lara está abordando a categoria Quebra de Controle de Acesso, explicando por que a alternativa correta é a C.

Espero que esta explicação tenha ajudado a entender melhor o tema. Se tiver mais dúvidas, sinta-se à vontade para perguntar!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

O OWASP Top 10 é uma lista das dez vulnerabilidades de segurança de software mais críticas. A lista é atualizada a cada dois anos para refletir as últimas ameaças à segurança. As vulnerabilidades do OWASP Top 10 2021 são:

Falhas de controle de acesso

Falhas de criptografia

Injeção

Design inseguro

Configuração insegura

Componentes vulneráveis e desatualizados

Sessões e autenticação inseguras

Gerenciamento de dados sensíveis

Ataques de rede

Recursos de segurança ausentes

Quebra de Controle de Acesso; Gabarito correto letra C !

Quebra de controle de acesso.

Violação do princípio de privilégio mínimo ou negação por padrão, onde o acesso deve ser concedido apenas para determinados recursos, funções ou usuários, mas está disponível para qualquer pessoa.

https://owasp.org/Top10/pt_BR/A01_2021-Broken_Access_Control/

Gabarito é para ser Letra C

A01 Broken Access Control

Access control enforces policy such that users cannot act outside of their intended permissions. Failures typically lead to unauthorized information disclosure, modification, or destruction of all data or performing a business function outside the user's limits. Common access control vulnerabilities include:

Violation of the principle of least privilege or deny by default, where access should only be granted for particular capabilities, roles, or users, but is available to anyone.

Bypassing access control checks by modifying the URL (parameter tampering or force browsing), internal application state, or the HTML page, or by using an attack tool modifying API requests.

Permitting viewing or editing someone else's account, by providing its unique identifier (insecure direct object references)

Accessing API with missing access controls for POST, PUT and DELETE.

https://owasp.org/Top10/A01_2021-Broken_Access_Control/

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

A OPORTUNIDADE ESTÁ ESCAPANDO!