O requisito II é uma descrição do teste de penetração do tipo white-box, que é normalmente considerado uma simulação de ataque por fonte interna e(ou) usuário privilegiado.
Acerca de testes de penetração, julgue os itens seguintes
Na situação apresentada na figura a seguir, de acordo com o OSSTMM (The Open Source Security Testing Methodology Manual), seria correto classificar o teste de penetração como um teste do tipo tandem, mas não como um teste double blind, haja vista que, na técnica tandem, o alvo não recebe notificação prévia referente ao alcance da auditoria, aos canais testados e aos vetores de teste.
Considerando o acesso a um sítio de uma empresa, desenvolvido em arquitetura Web/PHP, julgue os itens a seguir, a respeito de segurança de aplicações web.
Situação hipotética: Um empregado da empresa que deveria ter acesso apenas a seu contracheque, ao inspecionar o código, observou que é possível alterar os seus dados GET de busca e acessar o contracheque de outro empregado, do qual conhece o user, que é o filtro do sistema. Assertiva: Essa situação ilustra um problema de cross-site scripting (XSS), que pode ser resolvido alterando-se o método do formulário para post.
Com relação a criptografia simétrica e assimétrica e a ataques a sistemas de criptografia, julgue os itens a seguir.
Na criptografia assimétrica, as duas partes comunicantes compartilham a mesma chave, que precisa ser protegida contra acesso por outras partes.
Acerca de criptografia e segurança em computadores, julgue os próximos itens.
A função MAC (message authentication code) utiliza como entrada uma chave simétrica e um bloco de dados e produz um valor de hash associado à mensagem protegida.
Acerca de criptografia e segurança em computadores, julgue os próximos itens.
Um dos objetivos da segurança em computadores é a manutenção da privacidade, que garante que as ações de uma entidade sejam associadas exclusivamente a ela.
Acerca de ambientes de alta disponibilidade e escalabilidade, fail-over e técnicas de detecção de problemas e otimização de desempenho, julgue os itens que se seguem.
É fundamental o uso de honeytokens em honeypots comuns ou honeynets, todavia servidores de correio web, tais como Exchange e Postfix, não podem ser usados para a implantação de honeytokens.
Julgue o item a seguir, relativo aos ambientes de alta disponibilidade.
Em um ambiente de alta disponibilidade, a confiabilidade é o resultado do levantamento estatístico das horas de funcionamento da infraestrutura elétrica do ambiente.
Acerca do desenvolvimento seguro de software, julgue os itens seguintes.
No caso em que contas-padrão não são alteradas em razão de o console de administração do servidor de aplicação ter sido instalado automaticamente e não ter sido removido, recomenda-se utilizar um processo de hardening recorrente ou desenvolver arquitetura de aplicação que separe os componentes.
Com relação à segurança de redes sem fio, qual é o protocolo de segurança mais seguro e que deve ser utilizado na configuração dos Access Points atualmente?
Com relação à criptografia simétrica, analise as afirmativas a seguir:
I. Elimina o problema tradicional da criptografia, que envolve a necessidade de compartilhamento de chaves entre duas ou mais partes.
II. Para oferecer segurança adequada diante do poder computacional atual, o tamanho mínimo da chave usada deve ser de 40 bits.
III. Tem o uso mais difundido nas aplicações que criptografam dados, por ser mais rápida do que a criptografia assimétrica.
Está correto somente o que se afirma em:
Considere a situação abaixo.
O departamento de TI ficou responsável por entregar um software de Folha de Pagamento em 10/08/2018 que depende dos requisitos que serão coletados no departamento de Recursos Humanos (RH). Considerando o intenso volume de trabalho, o RH pode ou não ter pessoas necessárias para fornecer as informações (requisitos) para o desenvolvimento do software. As incertezas relacionadas ao fornecimento de informações mostram que o departamento de RH pode não fornecer as informações necessárias a tempo para o desenvolvimento e entrega do software.
Considerando que uma declaração de riscos deve incluir, entre outras informações o evento de risco, causas e impactos nos objetivos, é correto afirmar que, a partir da situação descrita o evento de risco é:
Um dos malwares mais nocivos e difundidos atualmente é o ransomware, que atua por meio de algumas formas. O mais comum deles é o que permite o acesso ao equipamento infectado, mas impede o acesso aos dados armazenados. Esse tipo de ransomware é conhecido como
Julgue o item seguinte quanto aos firewalls e ao IDS (Intrusion Detection System).
Alguns tipos de ataque, como, por exemplo, escaneamentos de portas e ataques de vulnerabilidade de aplicações, não podem ser detectados por um IDS.
O acesso não autorizado a uma estação de trabalho em uma instituição pode causar diversos danos à mesma. Assinale a alternativa CORRETA que apresenta uma medida de redução para este tipo de problema.
