Acerca de testes de penetração, julgue os itens seguintes
Na análise de vulnerabilidades, uma das fases da execução do teste de penetração de acordo com o PTES (Penetration Testing Execution Standard), a varredura de porta é uma técnica que ajuda a obter uma visão geral básica do que pode estar disponível na rede de destino ou no host; na exploração, outra fase da execução de tal teste, o fuzzing visa recriar um protocolo ou aplicativo e enviar dados no aplicativo com o intuito de identificar uma vulnerabilidade.
Devido ao baixo custo, o fuzzing é bastante utilizado pelas empresas de segurança e hackers, para testar aplicações web e listar suas vulnerabilidades. A esse respeito, julgue os itens a seguir.
Os fuzzers black-box de aplicações web, por questão de segurança, não permitem requisições que mostrem os valores de resposta na URL, o que impede a avaliação das respostas retornadas pelo servidor por meio de expressões regulares ou de funções hash, sem o conhecimento prévio dos valores da resposta.
A NBR ISO/IEC 27005 define risco como a combinação das consequências advindas da ocorrência de um determinado evento indesejado com a probabilidade de ocorrência desse mesmo evento. A análise e a avaliação de riscos capacitam os gestores a priorizar os riscos. De acordo com essa norma, a atividade de análise de riscos inclui
Acerca das ameaças persistentes avançadas (APT), vulnerabilidades zero day e engenharia social, julgue os itens a seguir.
O uso de engenharia social e o envio de mensagens contendo links para websites hospedeiros de código malicioso a fim de explorar vulnerabilidades zero day para pessoas cuidadosamente selecionadas e conectadas a redes corporativas são maneiras comuns de iniciar ataques de APT.
Considere a situação abaixo.
O departamento de TI ficou responsável por entregar um software de Folha de Pagamento em 10/08/2018 que depende dos requisitos que serão coletados no departamento de Recursos Humanos (RH). Considerando o intenso volume de trabalho, o RH pode ou não ter pessoas necessárias para fornecer as informações (requisitos) para o desenvolvimento do software. As incertezas relacionadas ao fornecimento de informações mostram que o departamento de RH pode não fornecer as informações necessárias a tempo para o desenvolvimento e entrega do software.
Considerando que uma declaração de riscos deve incluir, entre outras informações o evento de risco, causas e impactos nos objetivos, é correto afirmar que, a partir da situação descrita o evento de risco é:
O Processo de Gestão de Riscos de Segurança da Informação é formado por diversas etapas.
De acordo com a ABNT NBR ISO/IEC 27005:2011, assinale a opção que indica as atividades da etapa Processo de Avaliação de Riscos.
No desenvolvimento dos critérios básicos para a avaliação, o impacto e a aceitação de riscos consideram, entre outros itens, o valor estratégico do processo, a criticidade dos ativos de informação, a perda de oportunidades e os danos à reputação.
De acordo com a ABNT NBR ISO/IEC 27005:2011, o desenvolvimento desses critérios básicos no processo de gestão de riscos de segurança da informação, é realizado
De acordo com a norma NBR ISO/IEC 31000:2018, a avaliação de riscos envolve a comparação dos resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde é necessária ação adicional que pode levar a uma decisão de
Acerca de testes de penetração, julgue os itens seguintes
Situação hipotética: O acesso a uma aplicação web com permissão de administrador é realizado por meio do valor informado em uma variável, conforme a seguir
http://www.site.com.br/aplicacacao?profile=ascs23f8g7por04
Assertiva: Nesse caso, de acordo com a OWASP (Open Web Application Security Project), o teste de penetração black-box automatizado é efetivo para encontrar uma vulnerabilidade, dados o valor fixo para a variável e a forma de passagem: pedido via GET
Acerca de TomCat, desenvolvimento seguro de software, refactoring e integração contínua, julgue o próximo item.
No OWASP ZAP, o active scan pode ser utilizado para varrer vulnerabilidades como quebra de controle de acesso a aplicações web.
Julgue o item seguinte, relativos a mecanismos de segurança em um ambiente computacional.
A análise de riscos define os direitos e as responsabilidades de cada usuário em relação à segurança dos recursos computacionais que utiliza e às penalidades às quais cada um deles está sujeito.
A gerência de riscos na segurança da informação inclui o uso de diversos tipos e recursos de segurança. Um recurso de segurança categorizado como mecanismo de controle de acesso lógico é
Quando os dados que o usuário dá de entrada são enviados como parte de um comando ou consulta ocorre uma vulnerabilidade de segurança denominada
Julgue os itens a seguir, a respeito da análise de vulnerabilidades que é utilizada para detectar falhas que podem ser exploradas por um atacante.
Como o firewall é um elemento de rede que bloqueia a análise
de vulnerabilidade, recomenda-se que esse elemento seja
evitado em testes de vulnerabilidades.
Com relação ao que dispõe a NBR ISO 31000:2009 acerca da gestão de riscos, julgue os itens subsecutivos.
São consideradas as circunstâncias e as necessidades da organização para se determinar se a análise de riscos será qualitativa, quantitativa ou uma combinação dessas duas formas de análise.