1 Q729005
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Os itens a seguir apresentam uma situação hipotética seguida de uma assertiva a ser julgada a respeito de identificação de vulnerabilidades por inspeção de código. A arquitetura dos sistemas de uma organização utiliza uma mesma base de dados, ou seja, todos os sistemas acessam e gravam no mesmo banco de dados. Nessa arquitetura, todos os dados de acesso, como login e senha, estão armazenados em um arquivo .txt de configuração padrão no repositório central. Nessa situação, visando diminuir a fragilidade da arquitetura, é indicado que todos os sistemas tenham um dataSource específico de acesso aos seus dados.
2 Q729004
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Os itens a seguir apresentam uma situação hipotética seguida de uma assertiva a ser julgada a respeito de identificação de vulnerabilidades por inspeção de código. Um arquivo de configuração é acessado por uma classe Java que guarda, em um objeto em memória, o acesso ao dataSource do banco de dados do servidor. Quando compilado, esse arquivo é criptografado. Nesse caso, para evitar alteração ou modificação do arquivo por terceiros, uma solução seria guardar o arquivo no repositório GIT, de forma privada.
3 Q729003
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Devido ao baixo custo, o fuzzing é bastante utilizado pelas empresas de segurança e hackers, para testar aplicações web e listar suas vulnerabilidades. A esse respeito, julgue os itens a seguir. Na técnica conhecida como fuzzy white-box, a equipe de teste possui acesso ao código fonte da aplicação no servidor local e consegue executar os testes fuzzing por meio de algoritmos com casos de teste gerando resultado mais rápido e preciso para o gestor.
4 Q729002
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Devido ao baixo custo, o fuzzing é bastante utilizado pelas empresas de segurança e hackers, para testar aplicações web e listar suas vulnerabilidades. A esse respeito, julgue os itens a seguir. Os fuzzers black-box de aplicações web, por questão de segurança, não permitem requisições que mostrem os valores de resposta na URL, o que impede a avaliação das respostas retornadas pelo servidor por meio de expressões regulares ou de funções hash, sem o conhecimento prévio dos valores da resposta.
5 Q729001
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Julgue os itens a seguir, a respeito da identificação de condições de erro. Na instalação de um servidor Apache, caso as classes Java compiladas fiquem em um dos diretórios padrões instalados, um ataque não conseguirá ver o código e nem terá acesso às regras de negócios encontradas nessas classes.
6 Q729000
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Julgue os itens a seguir, a respeito da identificação de condições de erro. Situação hipotética: A administração de um sítio — mudança do conteúdo e alteração dos arquivos — é realizada por meio de console. No primeiro acesso, embora seja solicitado que o administrador altere a senha inicial, que é padrão para todos os clientes, ele pode manter a senha padrão para administração do sítio por tempo indeterminado. Assertiva: Nessa situação, é indicado o envio, para o administrador, de uma senha específica e aleatória, válida por tempo determinado, e que deve ser obrigatoriamente alterada no primeiro acesso.
7 Q728999
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Julgue os itens a seguir, a respeito da identificação de condições de erro. Situação hipotética: Um servidor de banco de dados para utilização de web services foi configurado com a porta padrão indicada pelo fabricante, sendo somente por meio dessa porta que as aplicações farão acesso ao servidor. Assertiva: Nessa situação, se a porta de acesso ao banco de dados for alterada, recomenda-se não atualizar as aplicações, para garantir maior segurança dos dados trafegados.
8 Q728998
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Acerca de testes de penetração, julgue os itens seguintes. Tcpdump é um aplicativo que recupera o conteúdo dos pacotes em uma interface de rede e permite, entre outras ações, o armazenamento dos dados do pacote em arquivo para análise posterior e a interrupção da comunicação entre emissor e receptor por meio de envio de kill (-k).
9 Q728997
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Acerca de testes de penetração, julgue os itens seguintes. Na análise de vulnerabilidades, uma das fases da execução do teste de penetração de acordo com o PTES (Penetration Testing Execution Standard), a varredura de porta é uma técnica que ajuda a obter uma visão geral básica do que pode estar disponível na rede de destino ou no host; na exploração, outra fase da execução de tal teste, o fuzzing visa recriar um protocolo ou aplicativo e enviar dados no aplicativo com o intuito de identificar uma vulnerabilidade.
10 Q728996
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Acerca de testes de penetração, julgue os itens seguintes.

Na situação apresentada na figura a seguir, de acordo com o OSSTMM (The Open Source Security Testing Methodology Manual), seria correto classificar o teste de penetração como um teste do tipo tandem, mas não como um teste double blind, haja vista que, na técnica tandem, o alvo não recebe notificação prévia referente ao alcance da auditoria, aos canais testados e aos vetores de teste.