Devido ao baixo custo, o fuzzing é bastante utilizado pelas empresas de segurança e hackers, para testar aplicações web e listar suas vulnerabilidades. A esse respeito, julgue os itens a seguir.
Na técnica conhecida como fuzzy white-box, a equipe de teste possui acesso ao código fonte da aplicação no servidor local e consegue executar os testes fuzzing por meio de algoritmos com casos de teste gerando resultado mais rápido e preciso para o gestor.
No que se refere à vulnerabilidade em navegadores web, julgue os seguintes itens.
Situação hipotética: Após a instalação de um plugin do navegador, um usuário, ao tentar acessar sua conta bancária online, verificou que a URL do banco tinha sido modificada e o acesso estava sendo direcionado para outro domínio; verificou também que arquivos do sistema Windows tinham sido modificados. Assertiva: Essa situação ilustra um problema que pode ser resolvido alterando-se a segurança do navegador para máxima, sem a necessidade de atualização do antivírus.
Julgue o próximo item, a respeito da segurança da informação.
A análise de vulnerabilidades considera potenciais vulnerabilidades ocasionadas por falhas humanas e por erros de configuração.
Os riscos identificados podem ser posicionados na matriz de riscos, de acordo com a avaliação realizada de probabilidade de ocorrência e impacto. Na matriz de riscos
A Gerência de Riscos avalia os riscos de uma determinada organização, com o propósito de identificar ameaças e vulnerabilidades nos seus ativos.
Em geral, a avaliação de riscos deve ser
O requisito I é uma descrição do teste de penetração do tipo black-box, que pode ser realizado com ferramentas de descoberta de vulnerabilidade para a obtenção das informações iniciais sobre o sistema e a organização de fontes públicas.
Acerca de testes de penetração, julgue os itens seguintes
Na análise de vulnerabilidades, uma das fases da execução do teste de penetração de acordo com o PTES (Penetration Testing Execution Standard), a varredura de porta é uma técnica que ajuda a obter uma visão geral básica do que pode estar disponível na rede de destino ou no host; na exploração, outra fase da execução de tal teste, o fuzzing visa recriar um protocolo ou aplicativo e enviar dados no aplicativo com o intuito de identificar uma vulnerabilidade.
Devido ao baixo custo, o fuzzing é bastante utilizado pelas empresas de segurança e hackers, para testar aplicações web e listar suas vulnerabilidades. A esse respeito, julgue os itens a seguir.
Os fuzzers black-box de aplicações web, por questão de segurança, não permitem requisições que mostrem os valores de resposta na URL, o que impede a avaliação das respostas retornadas pelo servidor por meio de expressões regulares ou de funções hash, sem o conhecimento prévio dos valores da resposta.
A NBR ISO/IEC 27005 define risco como a combinação das consequências advindas da ocorrência de um determinado evento indesejado com a probabilidade de ocorrência desse mesmo evento. A análise e a avaliação de riscos capacitam os gestores a priorizar os riscos. De acordo com essa norma, a atividade de análise de riscos inclui
Acerca das ameaças persistentes avançadas (APT), vulnerabilidades zero day e engenharia social, julgue os itens a seguir.
O uso de engenharia social e o envio de mensagens contendo links para websites hospedeiros de código malicioso a fim de explorar vulnerabilidades zero day para pessoas cuidadosamente selecionadas e conectadas a redes corporativas são maneiras comuns de iniciar ataques de APT.
Considere a situação abaixo.
O departamento de TI ficou responsável por entregar um software de Folha de Pagamento em 10/08/2018 que depende dos requisitos que serão coletados no departamento de Recursos Humanos (RH). Considerando o intenso volume de trabalho, o RH pode ou não ter pessoas necessárias para fornecer as informações (requisitos) para o desenvolvimento do software. As incertezas relacionadas ao fornecimento de informações mostram que o departamento de RH pode não fornecer as informações necessárias a tempo para o desenvolvimento e entrega do software.
Considerando que uma declaração de riscos deve incluir, entre outras informações o evento de risco, causas e impactos nos objetivos, é correto afirmar que, a partir da situação descrita o evento de risco é:
O Processo de Gestão de Riscos de Segurança da Informação é formado por diversas etapas.
De acordo com a ABNT NBR ISO/IEC 27005:2011, assinale a opção que indica as atividades da etapa Processo de Avaliação de Riscos.
No desenvolvimento dos critérios básicos para a avaliação, o impacto e a aceitação de riscos consideram, entre outros itens, o valor estratégico do processo, a criticidade dos ativos de informação, a perda de oportunidades e os danos à reputação.
De acordo com a ABNT NBR ISO/IEC 27005:2011, o desenvolvimento desses critérios básicos no processo de gestão de riscos de segurança da informação, é realizado
De acordo com a norma NBR ISO/IEC 31000:2018, a avaliação de riscos envolve a comparação dos resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde é necessária ação adicional que pode levar a uma decisão de
Acerca de testes de penetração, julgue os itens seguintes
Situação hipotética: O acesso a uma aplicação web com permissão de administrador é realizado por meio do valor informado em uma variável, conforme a seguir
http://www.site.com.br/aplicacacao?profile=ascs23f8g7por04
Assertiva: Nesse caso, de acordo com a OWASP (Open Web Application Security Project), o teste de penetração black-box automatizado é efetivo para encontrar uma vulnerabilidade, dados o valor fixo para a variável e a forma de passagem: pedido via GET
