Questões

Total de Questões Encontradas: 25

Ano: 2015 Banca: CESPE Órgão: MEC Prova: Técnico de Nível Superior - ANALISTA DE SEGURANÇA
Texto Associado Texto Associado
Considere que o capítulo sobre segurança de aplicações contenha proposta de adoção de uma metodologia de desenvolvimento de aplicações com segurança fundamentalmente embasada na metodologia OWASP (open web application security project), envolvendo uma proposta de processo de desenvolvimento de aplicações aderente ao arcabouço software assurance maturity model da OWASP, conhecido como SAMM ou OpenSAMM, em combinação com aspectos técnicos como arquiteturas seguras para aplicações web, análise de vulnerabilidades, testes de invasão, gestão de patches e ataques. Nesse contexto, julgue os itens seguintes.
Em aderência ao arcabouço SAMM da OWASP, o plano deve promover um processo de desenvolvimento seguro de software com base na adoção de práticas de segurança para quatro funções vinculadas ao negócio de desenvolvimento de software, as quais são: governança, construção, verificação e implantação (deployment). Para cada função, são prescritas três práticas.
C
Certo
E
Errado
Ano: 2015 Banca: CESPE Órgão: MEC Prova: Técnico de Nível Superior - ANALISTA DE SEGURANÇA
Texto Associado Texto Associado
Considere que o capítulo sobre segurança de aplicações contenha proposta de adoção de uma metodologia de desenvolvimento de aplicações com segurança fundamentalmente embasada na metodologia OWASP (open web application security project), envolvendo uma proposta de processo de desenvolvimento de aplicações aderente ao arcabouço software assurance maturity model da OWASP, conhecido como SAMM ou OpenSAMM, em combinação com aspectos técnicos como arquiteturas seguras para aplicações web, análise de vulnerabilidades, testes de invasão, gestão de patches e ataques. Nesse contexto, julgue os itens seguintes.
A fim de melhor implementar a técnica de detecção de vulnerabilidades e gestão de patches em aplicações web, o plano deve recomendar a adoção da arquitetura AppSensor da OWASP.
C
Certo
E
Errado
Ano: 2015 Banca: CESPE Órgão: MEC Prova: Técnico de Nível Superior - ANALISTA DE SEGURANÇA
Texto Associado Texto Associado
Considere que o capítulo sobre segurança de aplicações contenha proposta de adoção de uma metodologia de desenvolvimento de aplicações com segurança fundamentalmente embasada na metodologia OWASP (open web application security project), envolvendo uma proposta de processo de desenvolvimento de aplicações aderente ao arcabouço software assurance maturity model da OWASP, conhecido como SAMM ou OpenSAMM, em combinação com aspectos técnicos como arquiteturas seguras para aplicações web, análise de vulnerabilidades, testes de invasão, gestão de patches e ataques. Nesse contexto, julgue os itens seguintes.
Em aderência ao arcabouço SAMM da OWASP, cada uma das práticas de segurança no desenvolvimento de software a serem desenvolvidas no ministério deve ser avaliada quanto à capacidade, em uma escala que varia de 0 a 5, e que são 0 – Incompleto; 1 – Executado; 2 – Gerenciado; 3 – Definido; 4 – Quantitativamente gerenciado; 5 – Otimizante.
C
Certo
E
Errado
Ano: 2015 Banca: CESPE Órgão: MEC Prova: Técnico de Nível Superior - ANALISTA DE SEGURANÇA
Texto Associado Texto Associado
Considere que o capítulo sobre segurança de aplicações contenha proposta de adoção de uma metodologia de desenvolvimento de aplicações com segurança fundamentalmente embasada na metodologia OWASP (open web application security project), envolvendo uma proposta de processo de desenvolvimento de aplicações aderente ao arcabouço software assurance maturity model da OWASP, conhecido como SAMM ou OpenSAMM, em combinação com aspectos técnicos como arquiteturas seguras para aplicações web, análise de vulnerabilidades, testes de invasão, gestão de patches e ataques. Nesse contexto, julgue os itens seguintes.
No tópico segurança de aplicações web, o plano deve considerar o ataque de quebra de autenticação e de gerenciamento de sessão como sendo um dos mais importantes em relação aos demais, seja porque é comum aos desenvolvedores de software adotarem esquemas de autenticação e gerenciamento de sessão próprios e que contém falhas, seja porque possibilitam a execução de scripts nos navegadores das vítimas, facilitando a pichação de sítios web e o sequestro do navegador do usuário, entre outros impactos de negócio.
C
Certo
E
Errado
Ano: 2015 Banca: CESPE Órgão: MEC Prova: Técnico de Nível Superior - ANALISTA DE SEGURANÇA
Texto Associado Texto Associado
Considere que o capítulo sobre segurança de aplicações contenha proposta de adoção de uma metodologia de desenvolvimento de aplicações com segurança fundamentalmente embasada na metodologia OWASP (open web application security project), envolvendo uma proposta de processo de desenvolvimento de aplicações aderente ao arcabouço software assurance maturity model da OWASP, conhecido como SAMM ou OpenSAMM, em combinação com aspectos técnicos como arquiteturas seguras para aplicações web, análise de vulnerabilidades, testes de invasão, gestão de patches e ataques. Nesse contexto, julgue os itens seguintes.
No tópico segurança de aplicações web, o plano deve considerar o ataque de injeção como sendo um dos mais importantes em comparação aos demais, seja pela sua facilidade de explorabilidade (explotability) com o uso de scanners e fuzzers, seja pela facilidade com que podem ocorrer incidentes de alto impacto técnico, tais como vazamento de dados, perda de integridade (adulteração) e perda de contabilização.
C
Certo
E
Errado
Ano: 2015 Banca: NUCEPE Órgão: SEFAZ - PI Prova: Analista - Sistemas Júnior
Qual alternativa NÃO corresponde a uma API (Application Programming Interface) de segurança para Java? 
A
JSA (Java Security Advanced). 
B
JAAS (Java Authentication and Authorization Service). 
C
JSSE (Java Secure Socket Extension). 
D
Java GSS (Java Generic Security Service). 
E
Java SASL (Java Simple Authentication and Security Layer). 
Texto Associado Texto Associado
No que se refere às técnicas de programação utilizando banco de dados, julgue os itens de 55 a 60.
A injeção de SQL (SQL injection, relacionada à structured query language — linguagem de consulta estruturada) é uma técnica de injeção de código que explora a vulnerabilidade de segurança da camada de banco de dados de uma aplicação. Quando se consegue inserir uma ou mais instruções SQL dentro de uma consulta, ocorre o fenômeno.
C
Certo
E
Errado
Ano: 2015 Banca: FCC Órgão: TRE-RR Prova: Técnico do Judiciário - Operação de Computadores
Considere o texto abaixo.

A melhor forma para descobrir se uma aplicação está vulnerável a este tipo de ataque é verificar se todos os usos dos interpretadores separam claramente os dados não confiáveis do comando ou consulta. Para chamadas em linguagem estruturada de consulta, isso significa utilizar variáveis de ligação em todas as instruções preparadas e procedimentos armazenados, e evitar consultas dinâmicas.

O tipo de ataque citado no texto é conhecido como
A
Key Logging.
B
Buffer overflow.
C
SQL Injection.
D
Cross-Site Scripting (XSS).
E
Cross-Site Request Forgery (CSRF). 
No desenvolvimento de um software seguro, ou seja, projetado e instalado em um sistema de segurança crítica (que pode causar danos e/ou ferimentos em caso de falhas),
A
erros no projeto podem ser provenientes de erros na especificação do sistema.
B
falhas de hardware são totalmente absorvidas por um software seguro.
C
há um limite máximo no tamanho do código fonte gerado.
D
não se utilizam instruções de acesso à memória do computador.
E
os programas já são escritos diretamente em código de máquina, não se utilizando compiladores.
Ano: 2013 Banca: VUNESP Órgão: COREN-SP Prova: Analista - Segurança da Informação
A autenticação de uma aplicação web é feita por meio da comparação dos dados inseridos pelo usuário com os armazenados na base de dados. Tal operação é realizada de acordo com o pseudocódigo a seguir:

          id_usuario ← campo_id.texto
          senha_usuario ← campo_senha.texto
          remove_aspas(id_usuario)
          remove_aspas(senha_usuario) 
          sql ← "SELECT * FROM usuario" 
          sql ← sql + " WHERE id='" 
          sql ← sql + id_usuario 
          sql ← sql + "' AND senha='" 
          sql ← sql + "';" 

          executa_sql(sql) 

Considerando que a função “remove_aspas” remove as  aspas simples e duplas da string passada como parâmetro, essa consulta deve ser considerada 
A
segura, pois o comando SELECT não é susceptível a ataques de injeção de SQL.
B
segura, pois as aspas são removidas dos campos, impedindo a injeção de SQL.
C
insegura, pois a concatenação de strings para a formação de instruções é sempre susceptível a ataques de  injeção de SQL.
D
insegura, pois a senha do usuário pode conter caracteres especiais que serão executados.
E
insegura, pois a identificação pode ser alterada para permitir que outros usuários tenham acesso ao sistema sem possuir a senha correta.
Página 1 de 3