320691 Q729007
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Considerando o acesso a um sítio de uma empresa, desenvolvido em arquitetura Web/PHP, julgue os itens a seguir, a respeito de segurança de aplicações web. Situação hipotética: Navegando-se pelo sítio, descobriu-se o test=Query por meio de um método GET na URL, a qual foi usada para pesquisar o banco de dados e suas colunas, utilizando-se a ferramenta SQLMap. Assertiva: Essa situação ilustra uma forma de se explorar a fragilidade do sítio por meio de SQL injection.
320692 Q729006
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Considerando o acesso a um sítio de uma empresa, desenvolvido em arquitetura Web/PHP, julgue os itens a seguir, a respeito de segurança de aplicações web. Na situação de um URL/PHP que receba upload de arquivos, a maneira mais indicada de evitar um ataque de inclusão de arquivo é validar a URL que está subindo o arquivo junto com um token.
320693 Q729005
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Os itens a seguir apresentam uma situação hipotética seguida de uma assertiva a ser julgada a respeito de identificação de vulnerabilidades por inspeção de código. A arquitetura dos sistemas de uma organização utiliza uma mesma base de dados, ou seja, todos os sistemas acessam e gravam no mesmo banco de dados. Nessa arquitetura, todos os dados de acesso, como login e senha, estão armazenados em um arquivo .txt de configuração padrão no repositório central. Nessa situação, visando diminuir a fragilidade da arquitetura, é indicado que todos os sistemas tenham um dataSource específico de acesso aos seus dados.
320694 Q729004
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Os itens a seguir apresentam uma situação hipotética seguida de uma assertiva a ser julgada a respeito de identificação de vulnerabilidades por inspeção de código. Um arquivo de configuração é acessado por uma classe Java que guarda, em um objeto em memória, o acesso ao dataSource do banco de dados do servidor. Quando compilado, esse arquivo é criptografado. Nesse caso, para evitar alteração ou modificação do arquivo por terceiros, uma solução seria guardar o arquivo no repositório GIT, de forma privada.
320695 Q729003
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Devido ao baixo custo, o fuzzing é bastante utilizado pelas empresas de segurança e hackers, para testar aplicações web e listar suas vulnerabilidades. A esse respeito, julgue os itens a seguir. Na técnica conhecida como fuzzy white-box, a equipe de teste possui acesso ao código fonte da aplicação no servidor local e consegue executar os testes fuzzing por meio de algoritmos com casos de teste gerando resultado mais rápido e preciso para o gestor.
320696 Q729002
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Devido ao baixo custo, o fuzzing é bastante utilizado pelas empresas de segurança e hackers, para testar aplicações web e listar suas vulnerabilidades. A esse respeito, julgue os itens a seguir. Os fuzzers black-box de aplicações web, por questão de segurança, não permitem requisições que mostrem os valores de resposta na URL, o que impede a avaliação das respostas retornadas pelo servidor por meio de expressões regulares ou de funções hash, sem o conhecimento prévio dos valores da resposta.
320697 Q729001
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Julgue os itens a seguir, a respeito da identificação de condições de erro. Na instalação de um servidor Apache, caso as classes Java compiladas fiquem em um dos diretórios padrões instalados, um ataque não conseguirá ver o código e nem terá acesso às regras de negócios encontradas nessas classes.
320698 Q729000
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Julgue os itens a seguir, a respeito da identificação de condições de erro. Situação hipotética: A administração de um sítio — mudança do conteúdo e alteração dos arquivos — é realizada por meio de console. No primeiro acesso, embora seja solicitado que o administrador altere a senha inicial, que é padrão para todos os clientes, ele pode manter a senha padrão para administração do sítio por tempo indeterminado. Assertiva: Nessa situação, é indicado o envio, para o administrador, de uma senha específica e aleatória, válida por tempo determinado, e que deve ser obrigatoriamente alterada no primeiro acesso.
320699 Q728999
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Julgue os itens a seguir, a respeito da identificação de condições de erro. Situação hipotética: Um servidor de banco de dados para utilização de web services foi configurado com a porta padrão indicada pelo fabricante, sendo somente por meio dessa porta que as aplicações farão acesso ao servidor. Assertiva: Nessa situação, se a porta de acesso ao banco de dados for alterada, recomenda-se não atualizar as aplicações, para garantir maior segurança dos dados trafegados.
320700 Q728998
Ciência da Computação
Ano: 2018
Banca: Centro de Seleção e de Promoção de Eventos UnB (CESPE)
Acerca de testes de penetração, julgue os itens seguintes. Tcpdump é um aplicativo que recupera o conteúdo dos pacotes em uma interface de rede e permite, entre outras ações, o armazenamento dos dados do pacote em arquivo para análise posterior e a interrupção da comunicação entre emissor e receptor por meio de envio de kill (-k).