Questões

Total de Questões Encontradas: 04

Ano: 2015 Banca: FCC Órgão: TCM-GO Prova: Auditor de Controle Externo - Informática
Um Auditor de Controle Externo da área de TI do TCM/GO verificou que uma aplicação utiliza a seguinte chamada SQL:

   String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";

Esta mesma aplicação utiliza um framework de persistência que faz a seguinte chamada em um formato SQL adaptado:

    Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");

Esta aplicação está vulnerável a ataques de 
A
SQL Annotation.
B
Cross-Site Scripting. 
C
Referência Insegura e Direta a Objetos.
D
Cross-Site Request Forgery.
E
SQL Injection. 
De acordo com a versão OWASP Top 10 de 2013, para evitar este tipo de ataque são recomendados, dentre outras opções:

I. Filtrar adequadamente todos os dados não confiáveis com base no contexto HTML (corpo, atributo, JavaScript, CSS ou URL) no qual os dados serão colocados.
II. Utilizar "Lista branca" ou validação de entrada positiva, pois ajuda na proteção, mas não é uma defesa completa, já que muitas aplicações requerem caracteres especiais em sua entrada. Tal validação deve, tanto quanto possível, validar o tamanho, caracteres, formato e as regras de negócio sobre os dados antes de aceitar a entrada.

O tipo de ataque em questão é conhecido como:
A
Cross-Site Scripting (XSS).
B
Quebra de Autenticação e Gerenciamento de Sessão.
C
Falta de Função para Controle do Nível de Acesso.
D
Exposição de Dados Sensíveis.
E
Cross-Site Request Forgery (CSRF).
Ano: 2012 Banca: CESPE Órgão: POLÍCIA FEDERAL Prova: Perito Criminal - Analista de Sistemas
Texto Associado Texto Associado
No que se refere a processos de desenvolvimento seguro de aplicações, julgue os itens subsecutivos.
O CLASP (Comprehensive, Lightweight Application Security Process) fornece uma taxonomia de vulnerabilidades que podem ocorrer no código-fonte e que podem ser verificadas com o uso de ferramentas automatizadas para análise estática de código.
C
Certo
E
Errado
Qual a finalidade do Zed Attack Proxy da OWASP?
A
Simular ataques do tipo DoS em servidores web.
B
Separar fluxo seguro e ataques em um web site.
C
Proteger um web site de ataques.
D
Evitar que usuários sejam atacados quando usam web sites.
E
Encontrar vulnerabilidades de segurança em aplicações web.
Página 1 de 1