Questões de Concurso Comentadas para oficial de inteligência

Acerca do armazenamento de dados na plataforma Android, julgue o seguinte item.

O Android disponibiliza um banco de dados público local, orientado a objetos, para o armazenamento de dados estruturados, o que possibilita o gerenciamento das aplicações e dos dados de forma rápida e segura.

No que se refere à vulnerabilidade em navegadores web, julgue o seguinte item.

No que se refere à vulnerabilidade em navegadores web, julgue o seguinte item.

Situação hipotética: Após a instalação de um plugin do navegador, um usuário, ao tentar acessar sua conta bancária online, verificou que a URL do banco tinha sido modificada e o acesso estava sendo direcionado para outro domínio; verificou também que arquivos do sistema Windows tinham sido modificados. Assertiva: Essa situação ilustra um problema que pode ser resolvido alterando-se a segurança do navegador para máxima, sem a necessidade de atualização do antivírus.

No que se refere à vulnerabilidade em navegadores web, julgue o seguinte item.

No ambiente Windows 10, a opção de atualização automática não está disponível para o Edge, então, para que o navegador seja atualizado, é necessário solicitação do administrador de redes.

Considerando o acesso a um sítio de uma empresa, desenvolvido em arquitetura Web/PHP, julgue o item a seguir, a respeito de segurança de aplicações web.

Situação hipotética: Um empregado da empresa que deveria ter acesso apenas a seu contracheque, ao inspecionar o código, observou que é possível alterar os seus dados GET de busca e acessar o contracheque de outro empregado, do qual conhece o user, que é o filtro do sistema. Assertiva: Essa situação ilustra um problema de cross-site scripting (XSS), que pode ser resolvido alterando-se o método do formulário para post.

Considerando o acesso a um sítio de uma empresa, desenvolvido em arquitetura Web/PHP, julgue o item a seguir, a respeito de segurança de aplicações web.

Situação hipotética: Navegando-se pelo sítio, descobriu-se o test=Query por meio de um método GET na URL, a qual foi usada para pesquisar o banco de dados e suas colunas, utilizando-se a ferramenta SQLMap. Assertiva: Essa situação ilustra uma forma de se explorar a fragilidade do sítio por meio de SQL injection.

Considerando o acesso a um sítio de uma empresa, desenvolvido em arquitetura Web/PHP, julgue o item a seguir, a respeito de segurança de aplicações web.

Na situação de um URL/PHP que receba upload de arquivos, a maneira mais indicada de evitar um ataque de inclusão de arquivo é validar a URL que está subindo o arquivo junto com um token.

O item a seguir apresenta uma situação hipotética seguida de uma assertiva a ser julgada a respeito de identificação de vulnerabilidades por inspeção de código.

A arquitetura dos sistemas de uma organização utiliza uma mesma base de dados, ou seja, todos os sistemas acessam e gravam no mesmo banco de dados. Nessa arquitetura, todos os dados de acesso, como login e senha, estão armazenados em um arquivo .txt de configuração padrão no repositório central. Nessa situação, visando diminuir a fragilidade da arquitetura, é indicado que todos os sistemas tenham um dataSource específico de acesso aos seus dados.

O item a seguir apresenta uma situação hipotética seguida de uma assertiva a ser julgada a respeito de identificação de vulnerabilidades por inspeção de código.

Um arquivo de configuração é acessado por uma classe Java que guarda, em um objeto em memória, o acesso ao dataSource do banco de dados do servidor. Quando compilado, esse arquivo é criptografado. Nesse caso, para evitar alteração ou modificação do arquivo por terceiros, uma solução seria guardar o arquivo no repositório GIT, de forma privada.

Devido ao baixo custo, o fuzzing é bastante utilizado pelas empresas de segurança e hackers, para testar aplicações web e listar suas vulnerabilidades. A esse respeito, julgue o item a seguir.

Na técnica conhecida como fuzzy white-box, a equipe de teste possui acesso ao código fonte da aplicação no servidor local e consegue executar os testes fuzzing por meio de algoritmos com casos de teste gerando resultado mais rápido e preciso para o gestor.

Devido ao baixo custo, o fuzzing é bastante utilizado pelas empresas de segurança e hackers, para testar aplicações web e listar suas vulnerabilidades. A esse respeito, julgue o item a seguir.

Os fuzzers black-box de aplicações web, por questão de segurança, não permitem requisições que mostrem os valores de resposta na URL, o que impede a avaliação das respostas retornadas pelo servidor por meio de expressões regulares ou de funções hash, sem o conhecimento prévio dos valores da resposta.

Julgue o item a seguir, a respeito da identificação de condições de erro.

Na instalação de um servidor Apache, caso as classes Java compiladas fiquem em um dos diretórios padrões instalados, um ataque não conseguirá ver o código e nem terá acesso às regras de negócios encontradas nessas classes.

Julgue o item a seguir, a respeito da identificação de condições de erro.

Julgue o item a seguir, a respeito da identificação de condições de erro.

Situação hipotética: Um servidor de banco de dados para utilização de web services foi configurado com a porta padrão indicada pelo fabricante, sendo somente por meio dessa porta que as aplicações farão acesso ao servidor. Assertiva: Nessa situação, se a porta de acesso ao banco de dados for alterada, recomenda-se não atualizar as aplicações, para garantir maior segurança dos dados trafegados.

Acerca de testes de penetração, julgue o item seguinte.

Tcpdump é um aplicativo que recupera o conteúdo dos pacotes em uma interface de rede e permite, entre outras ações, o armazenamento dos dados do pacote em arquivo para análise posterior e a interrupção da comunicação entre emissor e receptor por meio de envio de kill (-k).

Acerca de testes de penetração, julgue o item seguinte.

Na análise de vulnerabilidades, uma das fases da execução do teste de penetração de acordo com o PTES (Penetration Testing Execution Standard), a varredura de porta é uma técnica que ajuda a obter uma visão geral básica do que pode estar disponível na rede de destino ou no host; na exploração, outra fase da execução de tal teste, o fuzzing visa recriar um protocolo ou aplicativo e enviar dados no aplicativo com o intuito de identificar uma vulnerabilidade.

Acerca de testes de penetração, julgue o item seguinte.

Situação hipotética: O acesso a uma aplicação web com permissão de administrador é realizado por meio do valor informado em uma variável, conforme a seguir.

http://www.site.com.br/aplicacacao?profile=as cs23f8g7por04

Assertiva: Nesse caso, de acordo com a OWASP (Open Web Application Security Project), o teste de penetração black-box automatizado é efetivo para encontrar uma vulnerabilidade, dados o valor fixo para a variável e a forma de passagem: pedido via GET.

Tendo como referência a situação hipotética apresentada, julgue o item que se segue.

O requisito I é uma descrição do teste de penetração do tipo black-box, que pode ser realizado com ferramentas de descoberta de vulnerabilidade para a obtenção das informações iniciais sobre o sistema e a organização de fontes públicas.

Tendo como referência a situação hipotética apresentada, julgue o item que se segue.

O requisito II é uma descrição do teste de penetração do tipo white-box, que é normalmente considerado uma simulação de ataque por fonte interna e(ou) usuário privilegiado.

Com relação a botnets e phishing, julgue o item a seguir.

A atual geração de dispositivos IOT (Internet das coisas) não foi concebida com foco em segurança do software, o que os torna candidatos prováveis a integrar gigantescas botnets que, entre outras atividades rentáveis, podem ser usadas para acelerar quebras de senhas para invadir contas online, minerar bitcoins e realizar ataques de negação de serviço sob encomenda.