51 Q1068776
Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos
Ano: 2022
Banca: FGV
Sobre o ciclo de desenvolvimento seguro de aplicações, assinale V para a afirmativa verdadeira e F para a falsa.
( ) Uma das práticas definidas pelo modelo SDL da Microsoft é a modelagem de ameaças.
( ) Uma análise estática de segurança (SAST) exige que a aplicação já esteja em funcionamento.
( ) O conserto de vulnerabilidades descobertas por meio de análise dinâmica de segurança (DAST) costuma custar mais caro do que aquelas descobertas no início do ciclo de desenvolvimento.
As afirmativas são, respectivamente,
52 Q1068770
Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos
Ano: 2022
Banca: CESPE / CEBRASPE

Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.


O tipo de ataque em que o atacante explora a relação de confiança que um sítio possui com o navegador que o acessa é conhecido como CSRF (cross-site request forgery). 

53 Q1068769
Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos
Ano: 2022
Banca: CESPE / CEBRASPE

Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.


As ferramentas de spidering são usadas na exploração de falhas e têm como finalidade catalogar solicitações HTTP/S enviadas a partir do navegador e respostas geradas pela aplicação web.

54 Q1068768
Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos
Ano: 2022
Banca: CESPE / CEBRASPE

Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.


Classificação de Risco para o Top 10 é uma metodologia baseada na OWASP Risk Rating Methodology e consiste em estimar, para cada categoria do Top 10, o risco peculiar que cada falha introduz em uma aplicação web típica e, posteriormente, ordenar o Top 10 de acordo com as falhas que tipicamente introduzem o risco mais significativo para uma aplicação. 

55 Q1068767
Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos Segurança na Internet
Ano: 2022
Banca: CESPE / CEBRASPE

Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.


Caso uma aplicação permita que comandos SQL sejam digitados nos inputs de seus formulários e concatenados diretamente nos comandos SQL da própria aplicação, sem que seja realizada uma validação ou tratamento antecedente, certamente essa aplicação estará vulnerável ao ataque conhecido como SQL Injection. 

56 Q1068701
Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos
Ano: 2022
Banca: CESPE / CEBRASPE

Julgue o item subsecutivo, relativo a gerenciamento de riscos de TI.


O propósito da identificação de riscos é compreender a natureza do risco e suas características, e envolve a consideração detalhada de incertezas, fontes, consequências, probabilidade, eventos, cenários, controles e a eficácia da identificação.

57 Q1068700
Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos
Ano: 2022
Banca: CESPE / CEBRASPE

Julgue o item subsecutivo, relativo a gerenciamento de riscos de TI.


A avaliação de riscos envolve a comparação dos resultados da análise de riscos frente aos critérios de riscos estabelecidos para determinar onde é necessária ação adicional. 

58 Q1068257
Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos
Ano: 2022
Banca: FGV
Em aplicações Web, a vulnerabilidade denominada CSRF (cross site request forgery) ocorre quando solicitações não autorizadas a um website são enviadas a partir de um equipamento onde existe uma sessão ativa em que o website confia. 
Uma forma de se proteger desse ataque é a(o)
59 Q1068255
Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos Ataques e ameaças
Ano: 2022
Banca: FGV
Em relação ao conceito de ameaças, vulnerabilidades e impactos, analise as afirmativas a seguir.

I. O vazamento de dados sensíveis e sigilosos pode causar um grande impacto à imagem de uma empresa.
II. Ameaças podem ser identificadas e até mesmo eliminadas se forem adotados os controles e medidas de proteção adequadas.
III. Espionagem industrial é uma vulnerabilidade permanente para determinados segmentos de negócios. 

Está correto o que se afirma em
60 Q1068254
Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos Ataques e ameaças
Ano: 2022
Banca: FGV
Um atacante utilizou um motor de buscas para detectar um website com componentes vulneráveis. Ele verificou que a aplicação dinamicamente incluía scripts externos, e assim conseguiu fazer o upload de um script malicioso hospedado em um site controlado pelo atacante.
Esse comprometimento permitiu a alteração e remoção de páginas, bem como o sequestro do servidor para ser utilizado como um bot de DDoS. Por fim, dados foram afetados, com roubo de senhas e informações.

A primeira vulnerabilidade explorada, que permitiu todos esses ataques, foi