Questões de Concurso Comentadas para câmara de belo horizonte - mg

Determinado usuário com conhecimentos avançados em tecnologia da informação estava navegando em um portal de notícias da sua cidade, quando observou que era possível inserir trechos em HTML nos campos de comentários das reportagens. Esse comportamento chamou a atenção do usuário, que resolveu testar se também era possível adicionar códigos JavaScript; logo, foi verificado que o teste foi bem-sucedido, pois nenhum bloqueio foi detectado ao adicionar esse tipo de código. A vulnerabilidade observada pelo usuário na situação hipotética torna possível um ataque conhecido como Cross-Site Scripting (XSS), que explora a falta de tratamento adequado das informações digitadas pelos usuários. Analise as afirmativas a seguir sobre o tipo de ataque em questão.


I. O objetivo é enviar comandos JavaScript e css que serão executados pelo servidor com comportamentos prejudiciais ao usuário.
II. Uma forma de burlar algoritmos de tratamento de XSS é utilizar os códigos JavaScript mascarados como, por exemplo, em notação hexadecimal.
III. Um exemplo de ataque pode ser: adicionar um código JavaScript para coletar os dados de autenticação digitados pelo usuário e, em seguida, realizar uma requisição ajax para outra aplicação enviando-os.


Está correto o que se afirma apenas em 

O LDAP (Lightweight Directory Access Protocol) é um protocolo para serviços de diretório que possibilita a organização dos dados de forma hierárquica, possibilitando que usuários de uma rede local ou pública possam localizar dados sobre organizações, indivíduos e outros recursos, como dispositivos, arquivos e aplicações; devido à sua configuração otimizada o protocolo é considerado leve se comparado a outros protocolos existentes no mercado. Comercialmente, o protocolo pode ser utilizado para disponibilizar um local centralizado para autenticação deus uários em um ambiente de rede, permitindo uma conexão única onde um usuário autorizado possa validar o acesso para múltiplas aplicações e serviços sem a necessidade um novo logon para cada operação. Por se tratar geralmente de um serviço baseado na web, o recurso está sujeito a um tipo de ataque conhecido como LDAP Injection que consiste em explorar as entradas de autenticação para obter informações confidenciais do recurso. Sobre o ataque, assinale a afirmativa INCORRETA. 

As organizações realizam diversas transações eletrônicas durante a execução das suas atividades operacionais, com aplicações de uso interno e externo, desenvolvidas em diferentes linguagens de programação, que persistem os dados coletados em um Sistema de Gerenciamento de Banco de Dados. O armazenamento desses dados deve ser revestido de uma boa camada de segurança, bem como as aplicações que consomem e alimentam esse banco, pois as consultas dinâmicas desenvolvidas nessas aplicações, se não protegidas adequadamente, produzem vulnerabilidades que podem causar danos de magnitude catastrófica em uma base de dados, permitindo acessos indevidos através de ataques conhecidos como SQL Injection. Sobre esse tipo de ataque, analise as afirmativas a seguir.


I. Consiste basicamente em digitar comandos SQL, exclusivamente do tipo DML, nos inputs de formulários da aplicação.
II. Um teste de SQL Injection pode ser em uma tela de login de um sistema WEB qualquer, digitar o comando ' or 1=1 or 'a' = 'a no campo de login, preencher o campo senha com qualquer valor e clicar no botão que efetua o login para verificar se o sistema realizará a autenticação.
III. Uma forma de proteger a aplicação do SQL Injection é realizar a validação/tratamento das informações manualmente ou utilizar frameworks de persistência/ORM que possuam mecanismos para evitar esse tipo de ataque.


Está correto o que se afirma apenas em 

A criptografia é uma técnica de segurança fundamental na proteção de dados e comunicações. Ela envolve a transformação de informações em um formato ilegível, chamado de texto cifrado, usando algoritmos matemáticos e chaves de criptografia. Levando-se em consideração as características fundamentais da criptografia, marque V para as afirmativas verdadeiras e F para as falsas.


( ) A criptografia de chave pública é geralmente mais lenta do que a criptografia de chave simétrica.
( ) Um exemplo de algoritmo de criptografia assimétrica é o RSA.
( ) Em sistemas criptográficos simétricos, a segurança depende principalmente do segredo da chave compartilhada entre as partes.


A sequência está correta em

Protocolos criptográficos desempenham papel fundamental na segurança da informação, garantindo confidencialidade, integridade e autenticidade dos dados transmitidos pela internet. Sobre os protocolos SSL/TLS, qual opção é considerada o protocolo de segurança da internet mais seguro?