1 Q729002
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Devido ao baixo custo, o fuzzing é bastante utilizado pelas empresas de segurança e hackers, para testar aplicações web e listar suas vulnerabilidades. A esse respeito, julgue os itens a seguir. Os fuzzers black-box de aplicações web, por questão de segurança, não permitem requisições que mostrem os valores de resposta na URL, o que impede a avaliação das respostas retornadas pelo servidor por meio de expressões regulares ou de funções hash, sem o conhecimento prévio dos valores da resposta.
2 Q729001
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Julgue os itens a seguir, a respeito da identificação de condições de erro. Na instalação de um servidor Apache, caso as classes Java compiladas fiquem em um dos diretórios padrões instalados, um ataque não conseguirá ver o código e nem terá acesso às regras de negócios encontradas nessas classes.
3 Q729000
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Julgue os itens a seguir, a respeito da identificação de condições de erro. Situação hipotética: A administração de um sítio — mudança do conteúdo e alteração dos arquivos — é realizada por meio de console. No primeiro acesso, embora seja solicitado que o administrador altere a senha inicial, que é padrão para todos os clientes, ele pode manter a senha padrão para administração do sítio por tempo indeterminado. Assertiva: Nessa situação, é indicado o envio, para o administrador, de uma senha específica e aleatória, válida por tempo determinado, e que deve ser obrigatoriamente alterada no primeiro acesso.
4 Q728999
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Julgue os itens a seguir, a respeito da identificação de condições de erro. Situação hipotética: Um servidor de banco de dados para utilização de web services foi configurado com a porta padrão indicada pelo fabricante, sendo somente por meio dessa porta que as aplicações farão acesso ao servidor. Assertiva: Nessa situação, se a porta de acesso ao banco de dados for alterada, recomenda-se não atualizar as aplicações, para garantir maior segurança dos dados trafegados.
5 Q728998
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Acerca de testes de penetração, julgue os itens seguintes. Tcpdump é um aplicativo que recupera o conteúdo dos pacotes em uma interface de rede e permite, entre outras ações, o armazenamento dos dados do pacote em arquivo para análise posterior e a interrupção da comunicação entre emissor e receptor por meio de envio de kill (-k).
6 Q728997
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Acerca de testes de penetração, julgue os itens seguintes. Na análise de vulnerabilidades, uma das fases da execução do teste de penetração de acordo com o PTES (Penetration Testing Execution Standard), a varredura de porta é uma técnica que ajuda a obter uma visão geral básica do que pode estar disponível na rede de destino ou no host; na exploração, outra fase da execução de tal teste, o fuzzing visa recriar um protocolo ou aplicativo e enviar dados no aplicativo com o intuito de identificar uma vulnerabilidade.
7 Q728996
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Acerca de testes de penetração, julgue os itens seguintes.

Na situação apresentada na figura a seguir, de acordo com o OSSTMM (The Open Source Security Testing Methodology Manual), seria correto classificar o teste de penetração como um teste do tipo tandem, mas não como um teste double blind, haja vista que, na técnica tandem, o alvo não recebe notificação prévia referente ao alcance da auditoria, aos canais testados e aos vetores de teste.

8 Q728995
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Acerca de testes de penetração, julgue os itens seguintes.
9 Q728994
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)

Com o objetivo de direcionar testes de penetração a ser executados em uma organização, um analista deve considerar os seguintes requisitos.

I Devem ser realizados ataques sem que o testador tenha conhecimento prévio acerca da infraestrutura e(ou) aplicação.

II Devem ser enviadas ao testador informações parciais e(ou) limitadas sobre os detalhes internos do programa de um sistema, simulando, por exemplo, um ataque de hacker externo.

Tendo como referência a situação hipotética apresentada, julgue os itens que se seguem.

O requisito I é uma descrição do teste de penetração do tipo black-box, que pode ser realizado com ferramentas de descoberta de vulnerabilidade para a obtenção das informações iniciais sobre o sistema e a...
10 Q728993
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)

Com o objetivo de direcionar testes de penetração a ser executados em uma organização, um analista deve considerar os seguintes requisitos.

I Devem ser realizados ataques sem que o testador tenha conhecimento prévio acerca da infraestrutura e(ou) aplicação.

II Devem ser enviadas ao testador informações parciais e(ou) limitadas sobre os detalhes internos do programa de um sistema, simulando, por exemplo, um ataque de hacker externo.

Tendo como referência a situação hipotética apresentada, julgue os itens que se seguem.

O requisito II é uma descrição do teste de penetração do tipo white-box, que é normalmente considerado uma simulação de ataque por fonte interna e(ou) usuário privilegiado.