Questões de Concurso Para banrisul

As regras de negócio de uma empresa de aluguel de carros foram descritas através de um grafo de causa e efeito conforme mostrado abaixo.
C1: idade > 23 E1: aluga C2: sem registro de multas E2: cobrança extra C3: é cliente frequente C4: aluguel para lazer


Considerando-se a lógica representada no grafo, assinale com V (verdadeiro) ou F (falso) as assertivas abaixo.
( ) Um cliente de 24 anos com registro de multa e em viagem de negócios pode alugar um carro. ( ) Um cliente de 24 anos sem registro de multas e em viagem de negócios pode alugar o carro e terá uma cobrança extra. ( ) Um cliente frequente de 23 anos com registro de multa não pode alugar um carro. ( ) Um cliente frequente e em viagem de negócios pode alugar o carro sem cobrança extra, mesmo que possua registro de multas na carteira.
A sequência correta de preenchimento dos parênteses, de cima para baixo, é

A técnica de teste caixa-preta foi aplicada a uma dada especificação gerando as seguintes partições do domínio de entrada:
C1: [A, B, C] C2: [1,2,3,4] C3: [*, !]
Qual a quantidade mínima de testes que devem ser gerados usando a técnica de teste pairwise (combinação de pares)?

Assinale a situação em que melhor se aplica a técnica de teste pairwise (combinação de pares).

Numere a segunda coluna de acordo com a primeira, associando os Níveis de Teste de Software às suas respectivas características.
(1) Teste de Unidade (2) Teste de Integração (3) Teste de Sistema (4) Teste de Aceitação
( ) Avalia o software com respeito ao projeto de seus subsistemas e detecta suposições errôneas sobre pré e pós-condições para execução de um componente, falhas nas interfaces de comunicação dos componentes do software. ( ) Avalia o software com respeito aos seus requisitos e detecta falhas nos requisitos e na interface com o usuário. ( ) Avalia o software com respeito a sua implementação detalhada e detecta falhas de codificação, algoritmos ou estruturas de dados incorretos ou mal implementados. ( ) Avalia o software com respeito ao seu projeto arquitetural e detecta falhas de especificação, desempenho, robustez e segurança.
A sequência correta de preenchimento dos parênteses, de cima para baixo, é

Considere as seguintes definições de custos envolvidos no projeto e no teste de um sistema de software:
C₁ = custo das atividades de verificação e validação. C₁ é calculado através dos custos de pessoal, equipamentos, licenças de software e demais recursos gastos em projetos anteriores similares que tiveram atividades de verificação e validação.
C₂ = custo dos defeitos não encontrados pelas atividades de verificação e validação executadas durante o desenvolvimento do software. C₂ é estimado através dos custos de remoção dos defeitos para o sistema em produção e contabilizando o total de defeitos encontrados pelos usuários.
C₃ = custo dos defeitos quando não há atividades de verificação e validação. C₃ é estimado usando dados históricos de projetos anteriores similares que não tiveram atividades de verificação e validação. Contabilizam-se os custos de remoção dos defeitos para o sistema em produção e o total de defeitos encontrados pelos usuários.
A partir dessas definições, a aplicação das atividades de verificação e validação é economicamente justificável quando:

Segundo Pezzè & Young, nenhuma técnica de teste ou de análise pode servir sozinha a todos os objetivos de verificação e validação de um software. Todas as afirmativas abaixo são razões primárias para a combinação de técnicas de verificação, validação e teste, EXCETO uma. Assinale-a.

Considere o seguinte código.

/ / Se x é null, lança uma exceção do tipo NullPointerException

/ / Se não, retorna o índice do último elemento em x que é igual a y.

/ / Se esse elemento não existe, retorna -1.

public int findLast (int[] x, int y) {

for (int i=x.length-1; i > 0; i --)

{

if (x[i] == y)

return i;

}

return -1;

}

Para o código acima, foi definido o seguinte caso de teste:

x = [3,2,5,3], y = 3

Resposta esperada: 3

É correto afirmar que esse caso de teste

A vulnerabilidade denominada Transbordamento de Dados (Buffer Overflow) pode ser evitada com técnicas de programação segura. Considere os itens abaixo.
I - Validar os dados de entrada de modo a prevenir que dados inesperados sejam processados. II - Utilizar criptografia simétrica. III - Evitar funções de programação inseguras, tais como strcpy() e strcat(). IV - Utilizar variáveis globais. V - Utilizar geradores de números randômicos confiáveis.
Quais são formas de prevenir esse tipo de vulnerabilidade?

Considere as falhas de segurança abaixo.
I - Integer overflow II - Injeção de comandos III - Vazamento de informações sensíveis IV - Execução remota de comandos V - Ataques de força bruta
Quais podem ser evitadas por meio de boas práticas de programação segura?

No contexto de segurança de dados, qual das alternativas abaixo melhor define um Zero-Day?

A linha de log abaixo foi retirada de um servidor web.
    GET /index.php?user=1'%20or%20'1'%20=%20'1&pass=1'%20or%20'1'%20=%20'1
Qual das alternativas melhor descreve o ataque?

Em uma análise realizada em um servidor comprometido, observaram-se as seguintes linhas nos logs de acesso:
Dec 19 21:59:14 localhost sshd[12297]: Failed password for invalid user root from 10.0.0.100 port 46290 ssh2 Dec 19 21:59:15 localhost sshd[12297]: Failed password for invalid user test from 10.0.0.100 port 46290 ssh2 Dec 19 21:59:17 localhost sshd[12299]: Failed password for invalid user admin from 10.0.0.100 port 46325 ssh2 Dec 19 21:59:19 localhost sshd[12301]: Failed password for invalid user info from 10.0.0.100 port 46351 ssh2 Dec 19 21:59:22 localhost sshd[12303]: Failed password for invalid user pi from 10.0.0.100 port 46378 ssh2 Dec 19 21:59:24 localhost sshd[12305]: Failed password for invalid user user from 10.0.0.100 port 46403 ssh2 Dec 19 21:59:27 localhost sshd[12307]: Failed password for invalid user postgres from 10.0.0.100 port 46435 ssh2 Dec 19 21:59:30 localhost sshd[12309]: Failed password for invalid user mysql from 10.0.0.100 port 46464 ssh2
Considere as afirmações abaixo sobre essas linhas.
I - A utilização de criptografia forte impede que esse tipo de ataque seja bem-sucedido. II - Limitar o número de pacotes TCP SYN por endereço IP de origem é uma forma de mitigar esse tipo de ataque. III - Descrevem uma varredura destinada às portas do protocolo UDP.
Quais estão corretas?

Considere as afirmações abaixo sobre os diferentes tipos de códigos maliciosos.
I - Técnicas como ofuscação e polimorfismo são utilizadas por atacantes para dificultar a análise de um código malicioso. II - Um Spyware pode capturar dados bancários inseridos pelo usuário em um sistema comprometido. III - Ransomware é um tipo de código malicioso que exige pagamento de resgate para restabelecer o acesso de dados armazenados em um dispositivo. IV - Backdoor é um código malicioso que permite o retorno de um atacante a um sistema comprometido. V - RootKit é um código malicioso que tem por objetivo ocultar as atividades do invasor no sistema comprometido.
Quais estão corretas?

Durante uma investigação de um incidente de segurança, constatou-se que o seguinte código estava embutido em um determinado website:



Considere as afirmações abaixo sobre esse código.
I - Trata-se de ataque no qual se pretende modificar a configuração dos servidores de nomes de um dispositivo.

II - É um ataque que disponibiliza a configuração dos servidores de nomes utilizados pelo website.

III - Trata-se de um ataque do tipo Cross-Site Request Forgery (CSRF).

IV - É um ataque que pretende sobrecarregar o sistema com dados aleatórios para ter acesso a dados da memória de um servidor web.

V - Trata-se de uma requisição que informa ao website qual a configuração de resolução de nomes utilizada pelo usuário.

Quais estão corretas?

Considere as afirmações abaixo sobre phishing.
I - Phishing é um ataque que pretende obter dados pessoais e financeiros. II - Ataques de phishing podem empregar diferentes técnicas, incluindo: engenharia social, páginas web falsas e sequestro de DNS (DNS Hijacking). III - A utilização de senhas fortes impede que um ataque de phishing seja bem-sucedido.
Quais estão corretas?

Considere as afirmações abaixo sobre ataques de negação de serviço (DoS).
I - Ataques de negação de serviço distribuído não pretendem invadir sistemas, mas sim coletar informações sensíveis do sistema-alvo. II - Uma botnet é capaz de realizar poderosos ataques de negação de serviço. III - Serviços como NTP (123/UDP), SNMP (161/UDP) e CharGEN (19/UDP) são utilizados para amplificar ataques de negação de serviço. IV - O ataque denominado TCP SYN Flood vale-se das características do processo de three-way-handshaking do protocolo TCP para consumir recursos de um sistema-alvo, pretendendo torná-lo inacessível. V - Provedores de Internet que implementam filtro anti-spoofing em seus equipamentos estão livres de originar certos tipos de ataques de negação de serviço.
Quais estão corretas?

Qual dos espécimes abaixo NÃO é considerado um malware do tipo Advanced Persistent Threat (APT)?

De acordo com a norma ISO ABNT NBR ISO/IEC 27005:2011, é correto afirmar que:

A norma ISO ABNT NBR ISO/IEC 27005:2011, em seu Anexo E, sugere abordagens para o processo de avaliação de riscos de segurança da informação. O método de ordenação de ameaças, em função dos riscos, é baseado em uma tabela ou matriz em que são listadas todas as ameaças e, para cada uma delas, avaliam-se numericamente ______________ e ___________. É realizado ____________ destes dois valores de modo a se obter a medida do risco, possibilitando que as ameaças sejam ordenadas segundo o seu nível de risco.
Assinale a alternativa que completa, correta e respectivamente, as lacunas do texto acima.

Considere as seguintes afirmações sobre o modelo COBIT 5.
I - Permite que a TI seja governada e gerida de forma holística para toda a organização, abrangendo o negócio de ponta a ponta bem como todas as áreas responsáveis pelas funções de TI. II - É um modelo único e integrado, que abrange todos os aspectos de gestão e de governança de TI da organização, eliminando a necessidade de serem utilizados outros padrões e modelos. III - Estabelece que o papel da Gestão de Tecnologia da Informação é avaliar, dirigir e monitorar, de forma que sejam atendidas as expectativas das partes interessadas.
Quais estão corretas?