A equipe de segurança da informação definiu que os recursos de banco de dados alocados dentro do ambiente de nuvem pública utilizados pela empresa precisam ser isolados em uma subnet de acesso restrito que não esteja conectada à internet.
Para assegurar esse nível de isolamento, deve ser implementado na nuvem pública o seguinte mecanismo:
A avaliação dos funcionários de uma empresa é realizada por meio de um sistema hospedado em sua infraestrutura de servidores, gerenciada por uma equipe de especialistas. Ao emitir o seguinte relatório de avaliação, o gerente observou que João havia melhorado muito seu desempenho no último semestre. Ao ser questionado, o avaliador Luiz negou ter feito tal avaliação.
Ao investigar o ocorrido, a equipe de segurança detectou a modificação deliberada da avaliação no banco de dados do sistema.
O princípio de segurança da informação violado foi o da:
Considere que o comando a seguir, seja executado em um aplicativo Web, após a requisição dos dados usuário/senha.
Assinale os textos digitados maldosamente, armazenados respectivamente nas variáveis txtNome e txtPwd, que caracterizariam uma invasão do tipo “SQL Injection".
Os itens a seguir apresentam uma situação hipotética seguida de uma assertiva a ser julgada a respeito de identificação de vulnerabilidades por inspeção de código.
A arquitetura dos sistemas de uma organização utiliza uma mesma base de dados, ou seja, todos os sistemas acessam e gravam no mesmo banco de dados. Nessa arquitetura, todos os dados de acesso, como login e senha, estão armazenados em um arquivo .txt de configuração padrão no repositório central. Nessa situação, visando diminuir a fragilidade da arquitetura, é indicado que todos os sistemas tenham um dataSource específico de acesso aos seus dados.
Softwares desenvolvidos para a Web podem ter diversas vulnerabilidades e cada uma delas pode ser explorada com uma técnica específica. Sendo o ataque bem-sucedido, o atacante tem o controle do sistema. A respeito de características de ataques em software web, julgue o próximo item.
O ataque conhecido por blind SQL injection tem por característica a exploração de perguntas ao banco de dados, as quais retornam verdadeiro ou falso; conforme a resposta da aplicação, o atacante consegue identificar de onde os dados podem ser extraídos do banco, por falhas de programação na aplicação.
___________ é a técnica de recuperação de banco de dados que posterga qualquer atualização real do banco de dados em disco até que uma transação atinja seu ponto de confirmação (commit). Cada transação força a gravação do log em disco antes de gravar as atuali-zações no banco de dados.
Assinale a alternativa que preenche corretamente a lacuna do texto acima.
Considerando o acesso a um sítio de uma empresa, desenvolvido em arquitetura Web/PHP, julgue os itens a seguir, a respeito de segurança de aplicações web.
Situação hipotética: Navegando-se pelo sítio, descobriu-se o test=Query por meio de um método GET na URL, a qual foi usada para pesquisar o banco de dados e suas colunas, utilizando-se a ferramenta SQLMap. Assertiva: Essa situação ilustra uma forma de se explorar a fragilidade do sítio por meio de SQL injection.
O controle de acesso dos usuários ao banco de dados baseado em papéis (roles) permite
Acerca de banco de dados, julgue o item que se segue.
Os protocolos de bloqueio em um banco de dados podem bloquear todas as tabelas, apenas a tabela afetada ou apenas os dados que são manipulados durante a transação.
Dentre os vários tipos de ataques de segurança pela rede de computadores, há o ataque conhecido como injeção SQL, que se aproveita das vulnerabilidades da estrutura de acesso às bases de dados. Um dos tipos de injeção SQL é conhecido como Filter Bypassing, que se caracteriza
Considere as afirmações abaixo sobre segurança em bancos de dados.
I - Mecanismos de segurança obrigatórios são usados para conceder privilégios aos usuários, incluindo a capacidade de acessar arquivos de dados, registros ou campos específicos, em um modo especificado, como leitura, inserção, exclusão ou atualização.
II - Mecanismos de segurança discriminatórios são usados para impor a segurança multinível por classi-ficação de dados e usuários em várias classes (ou níveis) de segurança e, depois, pela implementação da política de segurança apropriada da organização.
III - A perda de disponibilidade é uma ameaça aos bancos de dados quanto a tornar os objetos disponíveis a um usuário humano ou a um programa que a eles tem legitimo direito de acesso.
Quais estão corretas?
Julgue os itens a seguir, a respeito da identificação de condições de erro.
Situação hipotética: Um servidor de banco de dados para utilização de web services foi configurado com a porta padrão indicada pelo fabricante, sendo somente por meio dessa porta que as aplicações farão acesso ao servidor. Assertiva: Nessa situação, se a porta de acesso ao banco de dados for alterada, recomenda-se não atualizar as aplicações, para garantir maior segurança dos dados trafegados.
Os sistemas de banco de dados implementam restrições de integridade que podem ser testadas com o mínimo de sobrecarga. São exemplos de categorias de restrições de integridade:
Nas aplicações web, as falhas de SQL Injection são introduzidas quando os desenvolvedores de software criam consultas dinâmicas a banco de dados que incluem entrada fornecida pelo usuário. Técnicas eficazes para evitar vulnerabilidades SQL Injection em aplicações web incluem o uso de
