Questões de Concurso

Considere um cenário típico de exposição de dados sensíveis: uma organização acredita estar segura ao utilizar a criptografia automática do seu banco de dados para encriptar dados financeiros sigilosos dos seus usuários, mas esquece que permite que esses dados sejam automaticamente decriptados nas operações de consulta. Um time de desenvolvedores sem experiência em desenvolvimento seguro trabalha em uma aplicação que acessa essa base de dados. Ao longo do desenvolvimento da aplicação, um tipo comum de vulnerabilidade é inserido em muitas das consultas realizadas, como no seguinte trecho:
String consultaHTTP = "SELECT \* FROM extratos WHERE id_cliente='" + request.getParameter("id") + "'";

Para mitigar o impacto dos riscos criados por esse tipo de vulnerabilidade, é possível utilizar:

      No desenvolvimento de uma aplicação web, passaram despercebidos alguns fluxos de dados incorretos que têm potencial para gerar um comportamento inadequado e que podem ser explorados como uma falha na segurança no sistema. Esses fluxos de dados estão relacionados a scripts que cruzam diferentes sítios (XSS ou cross-site scripting), onde um hacker, como resposta a uma requisição do cliente ao servidor, pode gerar uma página com mensagem contendo script malicioso.
A técnica mais específica para detectar a vulnerabilidade descrita na situação hipotética apresentada é o

Em relação às técnicas de computação forense, analise as afirmativas a seguir:

I. A preservação das provas coletadas, necessária para que não se possa alegar que tenham sido alteradas durante o processo de investigação, normalmente é obtida a partir de algum tipo de hash criptográfico;

II. A coleta e a análise de dados voláteis devem ser priorizados em relação aos dados não voláteis;

III. Dados de logs isolados não servem como provas em processos judiciais, em função da facilidade de sua alteração durante o processo investigativo.

Está(ão) correta(s) a(s) afirmativa(s):

Testes de invasão têm sido utilizados como um método para analisar uma rede corporativa e determinar o nível de impacto de um eventual ataque, bem como verificar quais vulnerabilidades devem ser tratadas para se obter um nível de risco aceitável. Uma das formas de realizá-lo é informar de antemão ao testador todas as informações do ambiente a ser atacado, como os ativos, serviços utilizados, contas/senhas de sistemas, etc., pois isso permite realizar um ataque com mais profundidade, descobrindo mais vulnerabilidades. Esse tipo de teste de invasão é conhecido como: