SóProvas

Questões de Segurança

ID
5266
Banca
CESGRANRIO
Órgão
REFAP SA
Ano
2007
Provas
Disciplina
Banco de Dados
Assuntos

Suponha que uma aplicação WEB, escrita em PHP, receba dados livres do usuário em um campo de formulário. Os dados recebidos são armazenados em uma variável "entrada", que é inserida diretamente, sem filtros, na consulta abaixo.

$consulta = "SELECT * FROM localidades WHERE nome='$entrada'";

Em seguida, a aplicação executa essa consulta no banco de dados. Desconsiderando mecanismos de defesa no banco de dados ou configurações especiais no servidor PHP, essa aplicação é vulnerável a ataques do tipo:

Alternativas
Comentários
  • existem varias maneiras de que um site me php ser atacado
    phpinjection
    sqlinjection
    etc...

  • A questão fala sobre uma injeção de dados que vai acontecer na aplicação, sendo que temos que desconsiderar qualquer tipo de mecanismo de defesa do mesmo.


    Existem dois principais tipos de ataques de injeção de banco de dados:

    1) SQL Injection que tem como alvo os sistemas de banco de dados tradicionais.

    2) NoSQL Injection que tem como alvo plataformas de Big Data.


    Ataques de SQL Injection geralmente envolvem a inserção (ou "injetar") de instruções SQL não autorizadas ou mal-intencionadas para os campos de entrada de aplicações web.


    Por outro lado, os ataques de NoSQL Injection envolvem a inserção de instruções maliciosas em componentes de grandes dados (por exemplo, Hive ou MapReduce).


    Em ambos os tipos, um ataque de injeção de entrada bem sucedida pode conceder a um attacker acessos sem restrições a um banco de dados inteiro. Um ponto crucial para perceber aqui, é que, embora seja tecnicamente verdade que as soluções de Big Data são impermeáveis aos ataques de SQL Injection - porque eles realmente não usam qualquer tecnologia baseada em SQL - são, na verdade, ainda suscetíveis à mesma classe fundamental de ataque (isto é, entrada de injeção).

  • "Um script PHP comumente depende de argumentos recebidos de outras páginas, através de links, de submissões de formulários(...), de requisições AJAX etc. Esses dados são enviados dentro de requisições HTTP, e são recebidas pelo PHP nos vetores superglobais $_GET e $_POST.

    Não é raro que scripts PHP trabalhem com esses vetores sem validá-los e formatá-los devidamente. Isso da Margem a ataques como SQL Injection, que na prática são muito mais simples do que possam parecer. (...) O Canal central para a realização de SQL Injection são os parâmetros recebidos pelo script, seja por linha de endereço (Get) ou por formulários (Get ou Post)."

    Fonte:

    CANTO, Fernando Henrique. Vulnerabilidades da Linguagem PHP. Trabalho de Graduação. UFRS. Porto Alegre, 2011. p.14-18. Disponível em: <https://www.lume.ufrgs.br/bitstream/handle/10183/31030/000782072.pdf> Acessado em: 12 Fev 2019.

    Alternativa Correta: SQL Injection

ID
61216
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2008
Provas
Disciplina
Banco de Dados
Assuntos

O armazenamento e a recuperação de grandes quantidades de dados é um trabalho importante e muito explorado em um sistema
gerenciador de banco de dados (SGBD). Com relação aos conceitos que envolvem esse sistema, julgue os itens que se seguem.

Quando uma regra de integridade referencial é violada, o procedimento normal a ser adotado é rejeitar a ação que ocasionou essa violação.

Alternativas
Comentários
  • Erro de integridade referencial é quando você quer deletar uma tabela que faz parte de uma relação. Tipo, deletar uma tabela que tem chaves estrangueiras como colunas. Tem outras formas de violar integridade referencial mas esta é a mais comum.
  • Correto. A finalidade da regra e evitar que os dados que possuem relacionamentos, isto é, outros dados ligados, sejam excluídos. EX.: Uma tabela de países e a tabela de cidades, estão na tabela de países os países A e B cadastrados, e na tabela de cidades as cidades de AA (no país A) e BB (no país B). Se tentarmos excluir o país A, essa operação não deve ser permitida, pois há cidades relacionadas o país A e que têm essa referência como chave estrangeira.
ID
137164
Banca
CESGRANRIO
Órgão
Casa da Moeda
Ano
2009
Provas
Disciplina
Banco de Dados
Assuntos

O servidor de banco de dados corporativo de uma empresa está isolado por meio de um firewall do tipo filtro de pacotes. Com base nessa informação, analise as afirmativas a seguir.

I - Tal isolamento é efetivo na proteção de ataques do tipo SQL Injection.
II - É possível bloquear o acesso de uma única estação ao banco de dados.
III - Consultas SQL excessivamente longas podem ser bloqueadas no firewall.

Está(ão) correta(s) a(s) afirmativa(s)

Alternativas
Comentários

  • SQL Injection são ataques que iserem trechos de queries SQL em campos de formulários WEB.  Firewall não protege contra isso.

    Consultas longas e consultas curtas tanto fazem para o Firewall.  O Firewall não identifica o que está sendo enviado para alguém, e sim se regras de rede permitem acesso a determinado recurso.

  • Um roteador de filtragem de pacotes aplica um conjunto de regras a cada pacote IP que entra e sai e depois encaminha ou descarta o pacote. O roteador normalmente é configurado para filtrar pacotes entrando em ambas direções (de e para a rede interna). As regras de filtragem são baseadas nas informações contidas em um pacote da rede:
    • Endereço IP de origem
    • Endereço IP de destino
    • Endereço de origem e destino em nível de transporte (o número de porta em nível de transporte, por exemplo, TCP ou UDP), que define aplicações como SNMP ou TELNET.
    • Campo de protocolos IP.
    • Interface.
     
    O filtro de pacotes normalmente é configurado como uma lista de regras baseadas em combinações com campos no cabeçalho IP ou TCP. Se houver uma correspondência com uma das regras, essa regra é chamada para determinar se encaminhará ou descartará o pacote. Se não houver correspondência com qualquer regra, então a ação-padrão é tomada. Duas políticas-padrão são possíveis:
    Padrão = descartar: Aquilo que não é expressamente permitido é proibido.
    Padrão = encaminhar: Aquilo que não é expressamente proibido é transmitido.
    fonte: Criptografia e segurança de redes - William Stallings. - 4a. ed.

  • 1 - ERRADA

    2 - CORRETA

    3 - ERRADA

ID
157999
Banca
FCC
Órgão
METRÔ-SP
Ano
2008
Provas
Disciplina
Banco de Dados
Assuntos

Em termos de banco de dados, é correto afirmar:

Alternativas
Comentários
  • As chaves(primária, estrangeira, candidata, alternativa) não podem ser nulas.
  • As restrições de integridade são:
    • INTEGRIDADE DE CHAVE
    • INTEGRIDADE REFERENCIAL
    • INTEGRIDADE DE DOMÍNIO
    • INTEGRIDADE DE VAZIO
    • INTEGRIDADE DE UNICIDADE
    Além das restrições semânticas (regras de negócio) que devem ser desenvolvidas pelos programadores.
  • Alguém poderia comentar cada uma das afirmativas erradas?

    •  a) No controle de segurança do tipo discricionário, a cada objeto de dados é assinalado certo nível de classificação, e cada usuário recebe certo nível de liberação. O que é esse tal de controle de segurança discricionário?
    •  b) A independência do hardware não é um dos objetivos da implementação de um sistema de bancos de dados distribuídos, mas sim a obtenção da independência da fragmentação. O que quer dizer a independência da fragmentação?
    •  d) Uma das vantagens dos sistemas de banco de dados distribuído é sua capacidade de tornar perceptível aos usuários os níveis de sua arquitetura performática em relação aos sistemas não distribuídos. Essa já fala por sí.
    •  e) A linguagem de definição de dados oferece suporte à declaração de objetos do banco de dados, enquanto a linguagem de estruturação de dados admite o processamento desses objetos. Qual a diferença entre a linguagem de definição de dados e  linguagem de estruturação de dados?
  • Não sei se as respostas estão 100%, mas vamos la:

    a) ERRADO. Através do controle de acesso discricionário (catálogos), o banco de dados mantém um registro dos seus objetos e dos privilégios que cada usuário ou grupo de usuários possui sobre os mesmos (OU SEJA, PARA CADA OBJETO EU TENHO UMA LISTA DOS USUARIOS QUE PODEM "UTILIZA-LO")

    b) ERRADO. A independência do hardware NÃO é um dos objetivos da implementação de um sistema de bancos de dados distribuídos.

    c) CORRETO

    d) ERRADO.  Uma das vantagens dos sistemas de banco de dados distribuído é sua capacidade de tornar perceptível aos usuários os níveis de sua arquitetura performática em relação aos sistemas não distribuídos. (ISSO É TRANSPARENTE PARA O USUARIO)

    e) ERRADO. LDD oferece suporte para definição de estrutura de dados (O TERMO OBJETO É MUITO AMPLO), já Ling. Estru. Dados nao faço ideia.

    é isso mesmo?
    gostaria de mais opniões.

    bons estudos!
  • A chave estrangeira pode ter valor nulo.
  • Apenas complementando os colegas, o Controle de Acesso Discricionário (DAC) a que se refere o item a) consiste em um tipo de controle de acesso em que determinado usuário recebe privilégios diferentes p/ objetos diferentes (grant, revoke e views). Ele se opõe ao Controle de Acesso Mandatório ou Obrigatório (MAC), que é exatamente o que o item descreve (cada objeto de dados é assinalado certo nível de classificação, e cada usuário recebe certo nível de liberação). Por conta disso, a assertiva é falsa.

  • LETRA C.

    Segundo Navathe(2011,p.47),"A restrição de integridade de entidade afirma que nenhum valor de chave primária pode ser NULL."

     

    -SISTEMAS DE BANCO DE DADOS-NAVATHE-2011-6 EDIÇÃO.

  • A = MAC

    B = Independência é um dos objetivos do BDD

    C = Restrição de ENTIDADE, Entidade = Nenhum valor da PK pode ser NULO = Restrição de Vazio para PK

    D = Abstração é um dos objetivos do BDD

    GAB C.

    Essa E não faço ideia

ID
159091
Banca
CESPE / CEBRASPE
Órgão
STJ
Ano
2008
Provas
Disciplina
Banco de Dados
Assuntos

Com respeito a vulnerabilidades e ataques a sistemas
computacionais, julgue os itens que se seguem.

A técnica denominada SQL injection tem por objetivo o acesso a bancos de dados por meio de aplicações web. Ataques embasados nessa técnica podem ser evitados por checagem de dados de entrada no backend e frontend da aplicação.

Alternativas
Comentários
  • Acho que pode ser por meio de aplicações desktop também.

  • É uma vulnerabilidade existente nos dias de hoje, que si usa de uma manipulação em códigos sql. Esta vulnerabilidade permite ao atacante executar consultas ao banco de dados inserindo querys (comandos Sql) na url do site ou ate mesmo em campos de text. obtendo, assim, informações confidenciais como logins e senhas, dentre outros.A forma de evitar esse tipo de ataque é por checagem de dados de entrada no backend e frontend da aplicação ou para proteger seus sistemas em PHP e MySQL contra SQL Injection é a mysql_real_escape_string(), ela escapa os caracteres especiais como aspas simples e duplas antes de enviar para o banco de dados. Porém esta função não funciona em todas as versões do PHP.

ID
171256
Banca
FGV
Órgão
MEC
Ano
2009
Provas
Disciplina
Banco de Dados
Assuntos

As restrições de integridade resguardam o Banco de Dados contra danos acidentais, assegurando que mudanças feitas por usuários autorizados não resultem na perda de consistência de dados.
A restrição de integridade, na qual um valor que aparece em uma relação para um determinado conjunto de atributos aparece também em outro conjunto de atributos em outra relação (tabela), é conhecida por:

Alternativas
Comentários
  • Questão boba da FGV pra DBA.
    Dentre as opções, integridade referencial é a única q existe no conceito de BD.
  • Integridade de domínio, especificam que o valor de um campo deve obedecer a definição de valores admitidos para a coluna

    Integridade de vazio é especificado se os campos de uma coluna podem ou não ser vazio.

    Integridade de chave, trata-se da restrição que define que os valores da chave primária e alternativa devem ser únicos

    Integridade referencial, define os valores dos campos que aparecem em uma chave estrangeira devem aparecer na chave primária da tabela referencial

    Projeto de banco de dados " Carlos Alberto Hauser"
ID
189550
Banca
CESGRANRIO
Órgão
ELETROBRAS
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Uma aplicação WEB de uma empresa foi invadida e, após análise, descobriram que o ataque utilizou a técnica de SQL Injection. Sobre essa situação, afirma-se que

Alternativas
Comentários
  • A Injeção de SQL, mais conhecida através do termo americano SQL Injection, é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação.
  • Como não adianta brigar com a banca ou o gabarito na prova temos que marcar a letra correta. 

    Na minha opinião a letra B é meio vaga, não está errada mas também acho que não condiz muito com o contexto, comando da questão que fala sobre o SQL Injection. 
    Acredito que a Letra E seria mais correta pois nesse tipo de ataque pode ocorrer um DoS inserindo por exemplo um DROP TABLE. Na verdade quem fica indisponível é a aplicação, e não o banco de dados em si, para o BD ficar indisponível teria que ser um comando de shutdown, algo assim. 

  • LETRA B. Visto que é a aplicação que está recebendo como entrada uma cadeia de caracteres maliciosa.

    Segundo Navathe (2011, p.576)"Em um ataque de Injeção de SQL (SQL injection), o atacante injeta uma entrada de cadeia de caracteres pela aplicação, que muda ou manipula a instrução SQL para o proveito do atacante. Um ataque de injeção de SQL pode prejudicar o banco de dados de várias maneiras, como na manipulação não autorizada do banco de dados, ou recuperação de dados confidenciais. Ele também pode ser usado para executar comandos em nível do sistema que podem fazer o sistema negar serviço à aplicação."


    Bibliografia:

    Sistemas de Banco de dados - 6 edição 2011
    Autor: Elmasri, Navathe

ID
211045
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Em relação aos aspectos de segurança de SGBDs, julgue os itens a
seguir.

Considerando um modelo relacional de banco de dados, o axioma de segurança a seguir está corretamente apresentado: se o usuário i não tiver acesso SELECT à combinação de atributo A, então ele também não tem acesso UPDATE ao A.

Alternativas
Comentários

  •  Creio que o gabarito esteja incorreto. O usuário não precisa ter acesso select para ter acesso update. Pode ter apenas update.

  • Observe que ele se refere ao select de um attributo, nesse caso, um campo apenas. Ou seja, o bloqueio de acesso de um attributo não impede o update da tupla como um todo. A questão aqui é saber se o update apenas daquele campo bloqueado é atualizado ou não. Alguem poderia testar e informar?

  • UPDATE

    Allows UPDATE of any column, or the specific columns listed, of the specified table. (In practice, any nontrivial UPDATE command will require SELECT privilege as well, since it must reference table columns to determine which rows to update, and/or to compute new values for columns.) SELECT ... FOR UPDATE and SELECT ... FOR SHARE also require this privilege on at least one column, in addition to the SELECT privilege. For sequences, this privilege allows the use of the nextval and setval functions.

  • Para se fazer uma atualização em qualquer tupla eu preciso primeiro achar essa tupla, e para achar essa tupla acredito que o SGBD faça um *SELECT* implicitamente. É a única forma de achar essa questão correta.

  • André Veras, aí você tá fazendo engenharia reversa de gabarito :P

    Eu poderia muito bem colocar um update pronto em um sistema (aplicação) e não dar acesso para o usuário que a aplicação está utilizando fazer select. Um exemplo disso poderia ser um update para alterar a senha (ou o hash da senha) em uma tabela de usuários.

  • Oi Tiago, o que o André questionou foi exatamente isso, que para ele a única opção para a questão estar correta seria o update dar um select implicitamente quando vai executar a operação, pois na visão dele as permissões são separadas.

    Eu acho que erraria essa questão, mas faz alguma lógica não ter como dar permissão de alteração para alguém que nem permissão de consultar tem, no site DEVMEDIA, achei este comentário sobre a questão:

    "Apesar de serem permissões diferentes, para conseguir atualizar um atributo é preciso também ter permissão para consultá-lo, ou seja, se um usuário i não tiver acesso SELECT a este atributo, ele também não poderá modificá-lo."


    Leia mais em: Questões de banco de dados do concurso do Ministério Público (2010) – Parte 2 - Revista SQL Magazine 89 http://www.devmedia.com.br/questoes-de-banco-de-dados-do-concurso-do-ministerio-publico-2010-parte-2-revista-sql-magazine-89/21485#ixzz32klTbZoz



ID
211051
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Em relação aos aspectos de segurança de SGBDs, julgue os itens a
seguir.

O administrador de banco de dados deve especificar os privilégios de acesso a cada usuário ou grupo de usuários, sendo que o SGBD provê acesso seletivo a cada relação no banco de dados embasada em contas específicas.

Alternativas
Comentários
  • A questão esta falando dos mecanismos de segurança "discricionarios" e "obrigatorios", respectivamente.
    No mecanismo discricionario, o proprietario estabelece o controle de acesso ao recurso. Já no mecanismo obrigatorios, a politica de controle de acesso e determinada pelo próprio sistema(SGBD).

  • CERTO 

    Segundo Navathe(2011,p.567),"

    24.2.1 Tipos de privilégios discricionários

           Na SQL2 e em versões posteriores, o conceito de identificador de autorização é usado para se referir,digamos assim, a uma conta de usuário(ou grupo de contas de usuário). Para simplificar,usaremos as palavras usuário ou conta para indicar a mesma coisa, no lugar de identificador de autorização. O SGBD precisa fornecer acesso seletivo a cada relação no banco de dados com base em contas epecíficas.

    Bibliografia:

    SISTEMAS DE BANCO DE DADOS-6 EDIÇÃO 2011-NAVATHE

ID
211054
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Em relação aos aspectos de segurança de SGBDs, julgue os itens a
seguir.

Existem dois níveis de privilégio no SGBD: de conta e de relação (tabela). O primeiro independe das relações no banco de dados e o de relação refere-se ao privilégio de acesso de cada relação individual ou visão (view) no banco.

Alternativas
Comentários
  • Infelizmente o CESPE pisou na bola nesta questão, ela está muito incompleta para afirmar sua corretitude.

    1. Modelos de controle de acesso podem ser classificados como tradicional ou recente.

    2. Modelos de controle de acesso tradicionais são amplamente categorizados como modelos de controle de acesso discricionário (Discretionary Access Control – DAC) e de controle de acesso mandatório (Mandatory Access Control – MAC) [CDT02].

    2.1 DAC
    Este modelo possui dois níveis de atribuição de privilégios: de conta e de relação ou tabela (a questão trata apenas deste modelo, e ainda diz que são níveis de privilégios ao invés de níveis de atribuição de privilégios

    2.2 MAC
    Este modelo é utilizado para executar segurança multinível classificando os dados e os usuários em várias classes ou níveis e, então, implementando a política de segurança apropriada da organização. As classes típicas de segurança são top secret (TS), secret (S), confidential (C), e unclassified (U)

    3. Modelos recentes abrangem mecanismos como controle de acesso baseado em regras (Rule-Based Access Control – RBAC) e outros. 

    Fonte: http://www2.dc.uel.br/nourau/document/?view=321

  • Afirmativa CORRETA.

    Consultado no livro "Sistemas de Banco de Dados - ELMASRI - NAVATHE - 4ª Edição - página 530". Tipos de Privilégios Discricionários.

    Informalmente existem dois níveis para atribuição de privilégios para o uso do sistema de banco de dados.
    Nível de conta: Nesse nível, o DBA estabelece os privilégios específicos que cada conta tem, independente das relações no banco de dados.
    Nível de relação: Nesse nível, o DBA pode controlar o privilégio para acessar cada relação ou visão individual no banco de dados.
     

  • Segundo Navathe, existem 2 niveis para atribuicao de privilegios na utilizacao do SBD:
    - Nivel de conta: privilégios de cada conta, independentemente das relações no BD. Se aplicam as capacidades fornecidas a própria conta(create schema/table/view, modify, alter..). Se aplicam a conta em geral. Se uma conta não tiver o privilegio “create table”, nenhuma relação pode ser criada com base nessa conta.
    -  Nivel de relação: privilegio para acessar cada relação ou visão individual no BD.

    Nao tem nada de errado, nem estranho nessa questão.

  • Segundo Navathe,

    De maneira informal, existem dois níveis para atribuição de privilégios na utilização de banco de dados:

    Nível de conta: Nesse nível, o DBA especifica os privilégios em particular que cada conta mantém independentemente das relações no banco de dados;

    • Nível de relação (ou tabela): Nesse nível, o DBA pode controlar o privilégio para acessar cada relação ou visão individual no banco de dados.

    Certo.

    DBA = Data Base Administrator

  • Questão

    Existem dois níveis de privilégio no SGBD: de conta e de relação (tabela). O primeiro independe das relações no banco de dados e o de relação refere-se ao privilégio de acesso de cada relação individual ou visão (view) no banco.

    Segundo Navathe,

    De maneira informal, existem dois níveis para atribuição de privilégios na utilização de banco de dados:

    Nível de conta: Nesse nível, o DBA especifica os privilégios em particular que cada conta mantém independentemente das relações no banco de dados.

    Nível de relação (ou tabela): Nesse nível, o DBA pode controlar o privilégio para acessar cada relação ou visão individual no banco de dados.

    Gabarito correto. ✅

ID
211057
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Em relação aos aspectos de segurança de SGBDs, julgue os itens a
seguir.

O comando SQL GRANT CREATETAB TO A1; permite criar a conta A1, a qual terá privilégios para criar base de dados.

Alternativas
Comentários

  •  A resposta correta é ERRADO.

    Elmasri/Navathe, Fundamentals of Database Systems, Fourth Edition Copyright 2004 Ramez Elmasri and Shamkant Navathe Chapter 23-26 2.5 An Example Suppose that the DBA creates four accounts --A1, A2, A3, and A4-- and wants only A1 to be able to create base relations; then the DBA must issue the following GRANT command in SQL: GRANT CREATETAB TO A1; In SQL2 the same effect can be accomplished by having the DBA issue a CREATE SCHEMA command as follows: CREATE SCHAMA EXAMPLE AUTHORIZATION A1;

    O comando dá ao usuário A1 direitos de createtab. Não cria nenhum usuário.

  • Questão foi oficialmente anulada
    CREATETAB - Não cria usuário

    CREATETAB - Privilege to create new tables.

    Ou seja, o CREATETAB até cria tabelas (base de dados) mas não usuários.

    Obs: Base de dados <> Banco de dados
ID
211102
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Com relação à segurança da informação, julgue os itens seguintes.

Considere a situação na qual os usuários camuflam-se como o próprio SGBD, por exemplo, removendo fisicamente parte do banco de dados, grampeando uma linha de comunicação e processando um programa que atravesse as defesas do sistema operacional. Nessa situação, estão caracterizadas ameaças de segurança que podem ser eficazmente combatidas com criptografia de dados.

Alternativas
Comentários

  • Questão provavelmente com o gabarito errado, A criptografia tem as seguintes propriedades:

    1. Sigilo
    2. Integridade
    3. Autenticação
    4. Não-repúdio

    Ou seja, a questão fala da disponibilidade do banco de dados, que é uma propriedade não garantida pela criptografia.
     

  • Discordo do colega.

    Não é a disponibilidade que a questão está visando, e sim a segurança dos dados contidos no banco de dados.

    O que significa remover FISICAMENTE parte do banco de dados, senão a obtenção de discos rígidos, cd's, dvd's, fitas, onde esses dados estão alocados??

    Como proteger estes dados que já estão em mãos desses usuários???

    Aqui só a criptografia poderá ser a melhor resposta à segurança da informação, pois os outros agentes de seguranças já foram detorrados. Cabe ressaltar que não é 100% garantido a segurança, uma vez que se pode decifrar a criptografia, conhecendo-se a técnica empregada, contudo o cara precisa ser realmente muito bom!!

    Resp.: CERTO

  • Alguém explica a frase:

     

    "os usuários camuflam-se como o próprio SGBD"

     

    Não vejo sentido nela.

     

     

    Além disso, a frase "processando um programa que atravesse as defesas do sistema operacional" é muito vaga para que se conclua que a criptografia possa combater.

     

    Pra mim é falsa, mas o gabarito é correta. Deve ser alterado

  •  Considero correta a afirmação. A criptografia pode ser usada no armazenamento físico dos dados e na comunicação dos dados pela rede (evitando o grampeamento citado).

     

    Resp: Certo

  • Apesar de estar muito confusa e mal formulada, a situação descrita na questão, refere-se a um exemplo de um tipo de ataque conhecido como “man in the middle”. O ataque “man in the middle” (literalmente “ataque do homem no meio” ou “ataques do interceptor”), às vezes chamado MITM, é um cenário de ataque no qual um atacante ouve uma comunicação (grampeando uma linha de comunicação) entre dois interlocutores e falsifica as trocas a fim de fazer-se passar por uma das partes. Esse tipo de ataque pode ser eficazmente combatido com criptografia de dados.

    Resposta: Certo.
     

  • "...removendo fisicamente parte do banco de dados..."  Só com essa afimação a questão estaria  Errada. Se eu remover o banco de dados irá ficar caracterizado a indisponibilidade, restrita, do serviço.  Apesar do gabarito ter dado como certo, analisando a partir desse angulo, considero a questão errada.Discordo do Daniel no sentido de que essa segurança é para o usuário e e o arquivo concomitantemente.
     

  • Questão confusa essa, isso não mede o conhecimento de ninguem.

    Dividi a questão em 3 partes:
    1. "...usuários camuflam-se como o próprio SGBD...", A criptografia pode impedir ou dificultar isso
    2. "...grampeando uma linha de comunicação...", Novamente a criptografia pode impedir ou dificultar isso
    3. "...processando um programa que atravesse as defesas do sistema operacional...", A criptografia não impede isso

    Os colegas acima não analisaram toda a questão e sim parte dela.
    Para ser considerada certa a questão tem que estar toda certa.

    Considere a questão ERRADA.
  • Nessa situação, estão caracterizadas ameaças de segurança que podem ser eficazmente combatidas com criptografia de dados.
    Como o colega acima citou, algumas das ameaças citas podem sim ser evitadas com o uso de criptografia...
  • O comentário do colega Luis Renné é sobre MITM não tem abslutamente nada a ver com esta questão. Me desculpe colega.
    Após analisar toda a questão conclui que a resposta é ERRADA. Discordo do Gabarito. 

  • Perfeito o comentario do colega "Evandro Torezan": a criptografia, poderia sim ser utilizada tanto em nivel de disco (ex. bitlocker para o disco) quanto na comunicação via rede (ex.: SSL/TLS), limitando-se, assim, o acesso à informação.

  • Disponibilidade não é garantida por criptografia nenhuma no mundo. Portanto, para mim questão ERRADA.

  • Se a questão falasse da parte removida, seria certa, pois os dados ali dentro poderiam sim serem protegidos.

    Mas, a questão fala do ato de remover parte do banco de dados, " removendo fisicamente parte do banco..." esse ato caracteriza indisponibilidade da parte do banco, logo errada.

  • A criptografia impedirá que o usuário se camufle  como o próprio SGBD. Logo, se ele não conseguirá isso, ele não terá como fazer o resto (remover parte do BD, grampear linha etc).

  • Esse questão foi retirada de um livro de banco de dados. Isso mesmo banco de dados!  ( Database Systems: Concepts, Design and Applications AUTOR: Por S. K. Singh).

    Nesse contexto, está correto. Fora de contexto, está errada. Ou no mínimo impede o julgamento objetivo! Vira loteria e não mais concurso. Quem sabe, marca e erra. Quem não sabe deixa em braco e sai na frente.

    Bem, sabendo do contexto a explicação é a seguinte:

    Considere a situação na qual os usuários camuflam-se como o próprio SGBD => O atacante deve acesso ao SGBD. Como ele faz isso ?

    a)  removendo fisicamente parte do banco de dados (aqui n é remover HD, nada disso. Entendo que é por exemplo apagando determinado parte do SGBD que bloqueava o acesso. )

    b)  grampeando uma linha de comunicação (sniffing)

    c) processando um programa que atravesse as defesas do sistema operacional (backdoor, trojan,... )

     Nessa situação, estão caracterizadas ameaças de segurança que podem ser eficazmente combatidas com criptografia de dados.

    Mas do jeito que foi escrita e fora de contexto está errada.

    Fonte: www.meubizu.com.br


  • Criptografia garante:

        - confidencialidade; integridade (simétrica).

        - confidencialidade; integridade; autenticação; não-repúdio (assimétrica)

    Não garante:

        - disponibilidade.

    -- Questão mal formulada: provavelmente "removendo fisicamente banco de dados"  significa que ele retirou ou bloqueio de acesso para conseguir se camuflar no SGBD. Ou seja, não afetou a disponibilidade. 

       Em "grampeando uma linha de comunicação" ele pode ter acesso à informação, mas se ela estiver criptografada será mantida a confidencialidade.

       E em "processando um programa que atravesse as defesas do sistema operacional" ele pode ter afetado a integridade do SGBD mas há nada informando que afetou a integridade da informação.

        Por fim pode-se concluir que a criptografia foi eficaz contra as ameaças.

ID
222277
Banca
FGV
Órgão
BADESC
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Os conceitos que envolvem os termos restrição de integridade de entidade e restrição de integridade referencial são, respectivamente:

Alternativas
Comentários

  • Restrições de integridade
    Integridade de Chave: Toda tupla tem um conjunto de atributos que a identifica de maneira única na relação.
    Integridade de Entidade: Nenhum valor de chave primária poderá ser NULO.
    Integridade Referencial: Uma relação pode ter um conjunto de atributos que contém valores com mesmo domínio de um conjunto de atributos que forma a chave primária de uma outra relação. Este conjunto é chamado chave estrangeira.

ID
236305
Banca
FCC
Órgão
TCE-SP
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Instruções: Para responder à  questão  sobre restrições de integridade, considere a temporalidade  dos dados e a relação R{Num#, Status, Período} sendo Key{Num#, Período}. De acordo com C. J. Date, podem ocorrer problemas em relações  temporais como esta.

A restrição Key para R não consegue impedir que R contenha, por exemplo, as seguintes tuplas ao mesmo tempo:

                         Num#         Status     Período [de:até]
                           N5              20              [p05:p05]
                           N5              20              [p06:p07] 

Esta situação é uma possibilidade que apresenta um problema de

Alternativas
Comentários
  • Este assunto encontra-se no Tópico 23.7, página 654 do livro do Date. O tema é Apoio a Decisão.

    O problema apontado por Date é que pode acontecer de, nesse tipo de banco de dados (temporal),  a chave primária da relação não ser capaz de garantir a integridade dos dados. No caso citado na questão temos uma  que N5 no período p05 a p05 teve status 10 e no período p06 a p07 teve o status 10. Observe que os dados são os mesmo, apenas o período mudou, e detalhe, este período é sequencial, ou seja, poderíamos dizer simplesmente que N5, no período p05 a p07 tinha status 10. Assim, a chave primária proposta estaria garantindo a integridade. Date chama este problema de Circunlóquio pois estamos usando duas tuplas para dizer o que poderia ser dito com apenas uma.
  • Questão rídicula e mal formulada. Conceito pra lá de obscuro.

  • eu só obrigado a ler o Date agora?

    único CJ que eu conheço é o do GTA SA

    #brinks

ID
245197
Banca
CESPE / CEBRASPE
Órgão
TRT - 21ª Região (RN)
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

No que se refere às técnicas de programação utilizando banco de
dados, julgue os itens de 55 a 60.

A injeção de SQL (SQL injection, relacionada à structured query language - linguagem de consulta estruturada) é uma técnica de injeção de código que explora a vulnerabilidade de segurança da camada de banco de dados de uma aplicação. Quando se consegue inserir uma ou mais instruções SQL dentro de uma consulta, ocorre o fenômeno.

Alternativas
Comentários

  • Essa questão foi dada como certa mas cabe aqui um breve comentário.

    Acho que a exploração ocorre na camada de apresentação. Uma camada de apresentação mal protegida permite ao atacante explorar o banco de dados por meio de consultas inválidas no domínio da aplicação (SQL Injection).

    O fato de dizer que a vulnerabilidade de segurança é da camada de banco de dados de uma aplicação é no mínimo questionável.

  • Concordo com o leoh, marquei errado justamente pensando que isso seria o erro, visto que a camada de banco de dados, ou no MVC mais conhecida como Modelo, recebe o que foi processado nas camadas anteriores, Visão e Controle, e acessa o banco. A proteção a ataques de SQL Injection deve ser feita na camada de apresentação, portanto considero a afirmativa errada.

  • Com o devido respeito, discordo de ambos os colegas acima com convicção.

    Tanto no PHP quanto em JAVA, o tratamento das consultas DEVE ser feito na camada de persistência, ou de banco de dados. Por exemplo, para resolver SQL Injection em Java basta sempre usar corretamente Prepared Statement e não concatenar às Strings das consultas parâmetros que venham informados pela Interface com o Usuário.

    Exemplos de artigos:
    Java:
    https://www.owasp.org/index.php/Preventing_SQL_Injection_in_Java

    PHP:
    http://codigofonte.uol.com.br/artigo/php/evite-sql-injection-usando-prepared-statements-no-php/imprimir
  • Injeção de SQL (SQL Injection) é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação.
    Exmplos em     http://pt.wikipedia.org/wiki/Sql_injection
  • Concordo com o amigo Tiago.

    A forma mais eficaz de combater o SQL-Injection é através da criação de Prepared Statements e Stored Procedures na própia camada do banco de dados.

  • Para mim, o fato da vulnerabilidade ser tratada na camada de persistência não significa dizer que a vulnerabilidade esteja residente nessa camada. Para mim, a vulnerabilidade é da camada de Aplicação, mas a tratativa, por uma recomendação, é na camada de persistência.

    Estou começando a achar que chutando questões eu terei mais chance.


  • A camada de apresentação tem responsabilidades no que diz respeito as manipulações via SQL injection, mas a responsabilidade pelo tratamento de consultas (query) continua sendo da camada de banco de dados, sendo que cada linguagem de programação pode fornecer "boas maneiras" para isso.

  • A exploração ocorre na aplicação para atingir o banco de dados.

    Segundo Navathe (2011, p.576)"Em um ataque de Injeção de SQL (SQL injection), o atacante injeta uma entrada de cadeia de caracteres pela aplicação, que muda ou manipula a instrução SQL para o proveito do atacante. Um ataque de injeção de SQL pode prejudicar o banco de dados de várias maneiras, como na manipulação não autorizada do banco de dados, ou recuperação de dados confidenciais. Ele também pode ser usado para executar comandos em nível do sistema que podem fazer o sistema negar serviço à aplicação."


    Bibliografia:

    Sistemas de Banco de dados - 6 edição 2011
    Autor: Elmasri, Navathe

ID
319735
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Sabendo-se que ataques do tipo SQL Injection provocam a execução de comandos diretos no banco de dados da aplicação, uma das ações recomendadas para se diminuir o risco de ocorrência desses ataques é a de

Alternativas
ID
320530
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Assinale a opção correta, a respeito de controle de proteção, integridade e concorrência e segurança em SGBDs.

Alternativas
Comentários

  • Controle de Acesso Obrigatório
        menos flexíves que os 
        controles de acesso discricionários
        e cada usuário é atribuído um nível de autorização
        cada objeto é atribuído um nível de classificação (Minnani)

  • As políticas do controle de acesso discricionário (DAC) são caracterizadas por um alto grau de flexibilidade, que as torna adequadas para uma grande variedade de domínios de aplicação. A principal desvantagem dos modelos DAC é sua vulnerabilidade a ataques maliciosos, como cavalos de Troia embutidos nos programas de aplicação.

    Navathe.

    Pedir comentário do Professor.

  • Para a gerência de segurança no acesso a bancos de dados, bem como para o desenho de controle de acesso em aplicações customizadas, os modelos de controle de acesso discricionários oferecem menor flexibilidade que os modelos de controle de acesso baseado em papéis (role based access control).

ID
339070
Banca
COSEAC
Órgão
DATAPREV
Ano
2009
Provas
Disciplina
Banco de Dados
Assuntos

Sobre autorização de acesso a dados, é correto afirmar que a autorização:

Alternativas
Comentários

  • Esta questão é estranha pq talvez isso possa variar de SGBD para SGBD. Mas levando em consideração o Oracle dá pra responder essa pergunta pois os privilégios que podem ser dados são: CREATE TABLE, CREATE VIEW, ALTER, DROP, MODIFY e SELECT.

    Fonte: https://www.devmedia.com.br/seguranca-de-bds-por-concessao-de-privilegios-de-acesso-a-usuarios-no-oracle/33266

ID
339127
Banca
COSEAC
Órgão
DATAPREV
Ano
2009
Provas
Disciplina
Banco de Dados
Assuntos

Um dos protocolos que garante a serialização é o protocolo de bloqueio:

Alternativas
ID
339145
Banca
COSEAC
Órgão
DATAPREV
Ano
2009
Provas
Disciplina
Banco de Dados
Assuntos

Das providências abaixo, a que mais contribui para o aumento da taxa de disponibilidade de um servidor de banco de dados é:

Alternativas
Comentários

  • As letras A,B,C primam por performance

    A letra D, por segurança(backup)

    A letra E, disponibilidade

ID
399967
Banca
CESPE / CEBRASPE
Órgão
Correios
Ano
2011
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens subsequentes, relativos à segurança e à integridade
de banco de dados e à linguagem SQL.

Os sistemas gerenciadores de banco de dados, cujo controle de acesso é feito por usuário, não suportam o formato discricionário, pois tal formato concede privilégios associados ao usuário e aos privilégios, como a concessão de privilégio de somente leitura a determinado usuário.

Alternativas
Comentários
  • Através do controle de acesso discricionário (catálogos), o banco de dados mantém um registro dos seus objetos e dos privilégios que cada usuário ou grupo de usuários possui sobre os mesmos.
  • Mecanismos de segurança de BD:
    - Discricionarios: Usado para conceder privilegios aos usuarios, como acessar registros, campos, com leitura, insercao, exclusao, alteracao. Nesse tipo de mecanismo, há um proprietário, o dono, q pode ser um usuario qqr do banco, mas q pode conceder permissões de acesso a outros usuarios.
    - Obrigatorios: usados para impor seguranca em varios niveis. Ex: os caixa de um banco podem apenas consultar saldo, enquanto o gerente, pode, alem de consultar saldo, ter outras atribuiçoes, como ver todo o historico das transacoes financeiras de um cliente.
    Papeis(roles): eh uma extensao do mecanismo obrigatorio, onde as permissões são estabelecidas de acordo com o papel(cargo, função), q determinado indivíduo tem na organização. 


  • ERRADO, Cespe fez um jogo de palavras malucão.

  • Concede privilégios associados aos privilégios, como a concessão de privilégio

    wtf

ID
399970
Banca
CESPE / CEBRASPE
Órgão
Correios
Ano
2011
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens subsequentes, relativos à segurança e à integridade
de banco de dados e à linguagem SQL.

O uso de visão em banco de dados é uma forma de aumentar a sua segurança, pois impede o acesso direto aos dados de uma tabela, fornecendo somente os dados considerados necessários.

Alternativas
Comentários
  • GABARITO CERTO.

    Se o proprietário A de uma relação R quiser que outra conta B seja capaz de recuperar apenas alguns campos de R, então A pode criar uma visão V de R que inclua apenas os atributos e depois conceda SELECT em V para B, ou seja, a visão é usada como um mecanismo de segurança no acesso a dados.


    Fonte: ELMASRI, Ramez; NAVATHE, Shamkant B. Sistemas de Banco de Dados. 6. ed. São Paulo: Pearson / Prentice Hall (Grupo Pearson), 2011.

  • PERFEITA DEFINIÇÃO DE VIEW. GUARDE-A NA CORAÇÃO.

  • Uma visão é formada a partir de uma consulta pré-definida ou armazenada. Esta consulta

    de origem pode selecionar os dados que devem ser apresentados em uma visão e, assim, um

    usuário que tem acesso a uma visão somente irá visualizar os dados daquela visão e não da

    tabela como um todo. Com esse mecanismo, certos dados podem ficar restritos ao acesso da

    tabela base. Além disso, vale destacar que as operações de atualização ficam limitadas com

    o uso de visões, o que também promove maior segurança aos dados.

    Podemos destacar, ainda, as seguintes vantagens com o uso de visões:

    ❖ Economizar tempo com retrabalho.

    ❖ Velocidade de acesso às informações:

    ❖ Mascarar a complexidade do banco de dados.

    ❖ Simplificar o gerenciamento de permissões de usuários.

    ❖ Organizar dados a serem exportados para outros aplicativos.

    Prof: Ramon Souza

  • Gabarito: CERTO.

    O que é Visões (Views)?

    1. são tabelas virtuais, resultam de uma consulta armazenada, que auxilia na observação dos dados;

    2. auxiliam na segurança dos dados, uma vez que permitem restringir o acesso a eles;

    3. não fica fisicamente dentro do banco de dados;

    4- coloca em memória para acesso rápido;

    5- aumenta ao acesso ao banco de dados, mais velocidade;

    6- serve para especificar o modo como o usuário ver os dados;

    7- pode inserir, excluir e atualizar os registros diretamente de uma View;

    8- é uma forma de aumentar a velocidade e segurança, pois impede o acesso direto ao dados de uma tabela.

    Bons Estudos!

ID
458929
Banca
CESPE / CEBRASPE
Órgão
HEMOBRÁS
Ano
2008
Provas
Disciplina
Banco de Dados
Assuntos

Com base nos conceitos de backup e restore de banco de dados,
julgue os itens a seguir.

Apesar de os SGDBs (sistemas geenciadores de bancos de dados) darem suporte a backup, as estratégias de backup são definidas pelo DBA (data base administrator). O backup pode ser de dois tipos: físico e lógico. Na estratégia de backup física, guarda-se todo o banco de dados, todas as views, triggers, stored procedures, etc., e geralmente usam-se fitas de backup com grande capacidade de armazenamento.

Alternativas
Comentários

  • Gab: CERTO

    Backup: cópia de arquivos\dados que existe para garantir a restauração dos mesmos em caso de falha.

    Falha pode ser desde uma corrupção de arquivos, falha de hardware, sinistros (incêndio, tsunamis) até erro de usuário (drops acidentais, exclusão de arquivos, má aplicação de atualizações)

    Backups Lógicos: Que contêm dados e\ou definições de objetos. Um exemplo comum de backup lógico é o famoso export\import através do datapump pois ele gera nada mais do que um arquivo binário com as definições de estrutura, índices, grants, dados (e o que mais você quiser) para importação

    Backups Físicos: Que contém os arquivos físicos do banco de dados como datafiles, archive logs ou controlfiles.

    Fonte: https://www.oracle.com/br/technical-resources/articles/database-performance/concept-backup-and-recover-em-oracle.html

  • Gabarito: Certo

    Corroborando com o comentário do Matheus Matos:

    Talvez outra questão ajude a entender, apesar da questão por si só trazer um conceito legal sobre esse tipo de backup.

    - A afirmação que descreve uma diferença básica entre um backup lógico e um backup físico é:

    A) o resultado de um backup lógico é um arquivo com instruções para restaurar o banco de dados, já o backup físico promove a cópia dos arquivos de configuração e de dados;

    Conceito tirado da própria questão, porém muito boa para revisão e aprendizado: Na estratégia de backup física, guarda-se todo o banco de dados, todas as views, triggers, stored procedures, etc.

  • Alguém tem a fonte disso?

    Se view surge do banco de dados, pq guardar os dois? alô repetição da redundância.

ID
458968
Banca
CESPE / CEBRASPE
Órgão
HEMOBRÁS
Ano
2008
Provas
Disciplina
Banco de Dados
Assuntos

Com base nos conceitos de controle de acesso ao banco de dados,
julgue os itens subseqüentes.

O controle de acesso discrecional ou DAC (discretional acess control) é um tipo de controle tipicamente implementado, por exemplo, a partir de permissões em arquivos. Nesse tipo de implementação, o usuário escolhe quem pode acessar o arquivo ou programa com base nas permissões estabelecidas pelo dono deste. O elemento-chave é que a permissão de acessar os dados é uma decisão do dono do arquivo, a qual, por sua vez, é reforçada pelo sistema.

Alternativas
Comentários

  • GABARITO CERTO

    O administrador de segurança define um perfil para cada objeto (um recurso ou grupo de recursos) e atualiza a lista de controle de acesso para o perfil. Esse tipo de controle é discricionário no sentido de que os sujeitos podem manipulá-lo, pois o proprietário de um recurso, além do administrador de segurança, pode identificar quem pode acessar o recurso e com qual autoridade.

ID
458974
Banca
CESPE / CEBRASPE
Órgão
HEMOBRÁS
Ano
2008
Provas
Disciplina
Banco de Dados
Assuntos

Com base nos conceitos de controle de acesso ao banco de dados,
julgue os itens subseqüentes.

Os controles de acesso lógico são ferramentas usadas para identificação, autenticação, autorização e auditabilidade. Existem componentes de software que reforçam as medidas de controle de acesso a sistemas, programas, processos e informação. Esses controles de acesso lógico podem ser embutidos dentro de sistemas operacionais, aplicações, pacotes de segurança ou sistemas gerenciadores de bases de dados e redes.

Alternativas
Comentários

  • GABARITO CERTO

    O controle de acesso lógico é o conjunto de medidas de segurança que protegem os recursos informatizados conforme a necessidade e os privilégios de acesso do usuário.

    Classificado como “sujeito ativo”, esse usuário deve ser identificado e autenticado por meio de senha ou outros mecanismos de verificação.

    Esse controle de acesso pode ser resumido em termos de funções de identificação e autenticação de usuários, gerenciamento e monitoramento de privilégios, limitação e desabilitação de acessos e na prevenção de acessos não autorizados.

    Os sistemas de autenticação no acesso lógico combinam hardwaresoftware e procedimentos que permitem o acesso do usuário aos recursos computacionais.

    Na autenticação o usuário apresenta algo que ele sabe (senha) ou possui. O que ele possui pode ser um dispositivo, mas pode também envolver características físicas, como formato da mão, da retina, do rosto e até mesmo reconhecimento da voz. Esse processo é chamado de biometria.

    FONTE-

    https://lms.ev.org.br/mpls/Custom/Cds/COURSES/2496-STI_v2/pag/3_2_01.html

    https://lms.ev.org.br/mpls/Custom/Cds/COURSES/2496-STI_v2/pag/3_2_01.html

ID
458977
Banca
CESPE / CEBRASPE
Órgão
HEMOBRÁS
Ano
2008
Provas
Disciplina
Banco de Dados
Assuntos

Com base nos conceitos de controle de acesso ao banco de dados,
julgue os itens subseqüentes.

No modelo RBAC (role based access control), a função do usuário é definida em termos das operações e tarefas que o funcionário deve realizar. O modelo RBAC é recomendado para organizações que tem pouca rotatividade de funcionários.

Alternativas
Comentários

  • Resposta: E

    Se eu entendi corretamente, a questão está falando em perfis de acesso, ou seja, você tem os usuários joao e maria que sao programadores, então é criado um perfil com o nome "programadores", por exemplo. Se entrar um novo funcionario programador, você não vai precisar definir regra a regra tudo que ele pode fazer. É só colocar no perfil certo. A mesma coisa se precisar alterar o de todo mundo.

    Até no caso de ter um usuário com atribuição específiica, é recomendado que ele tenha um perfil, porque se por acaso for necessário atribuir mesmo que temporariamente (férias, por exemplo) as permissões dele a um outro usuário, o perfil vai facilitar bastante.

  • Complemento.

    Segundo Navathe(2011,p.572),"No controle de acesso baseado em papéis(RBAC) (...) os privilégios e outras permissões são associados a papéis organizacionaisem vez de a usuários individuais."

    Bibliografia:

    SISTEMAS DE BANCO DE DADOS-NAVATHE-6 EDIÇÃO 2011


  • Essa informação procede ou foi pegadinha mal feita pelo CESPE?

    Imagino que a frase deveria dizer "especialmente recomendado para organizações que tem alta rotatividade de funcionários."

    Mas isso não quer dizer que seja não recomendado pra organizações com baixa rotatividade.

  • Gabarito Errado

    Controle de Acesso Baseado em Papéis flexibiliza o gerenciamento de controle de acesso.

    Vamos lá....

    Existem 4 (quarto) componentes básicos, que são: usuários, papéis, permissões e sessões.

    Os usuários são os humanos ou algum agente controlado por software.
    As permissão é o direito de executar a ação.
    Os papéis são intermediários entre os usuários e permissões.

    Ao invés de conceder permissão diretamente aos usuários, as permissões são concedidas aos papéis (como por exemplo uma função ou cargo: Auditor, Contador) e daí os usuários são associados a um ou mais papéis.

    o acesso não é definido pela identidade, e sim pelo papel exercido pelo usuário na organização.

    Sessão é quando o usuário inicia e passa a usar o sistema, ele 'levanta' uma sessão.
    PS.: durante a sessão pode haver um ou mais papéis ativos.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Caríssimos,

     

    Trabalhando em uma relação um pouco mais direta com a assertiva proposta, segue:

     

    "No modelo RBAC (role based access control), a função do usuário é definida em termos das operações e tarefas que o funcionário deve realizar".

    Não há uma orientação propriamente dita a determinado usuário em decorrência das operações e tarefas que ele realiza, mas uma orientação a papéis executados por usuários.

     

    "O modelo RBAC é recomendado para organizações que tem pouca rotatividade de funcionários."

    Na verdade, a rotatividade de funcionários pouco importa para o RBAC, pois a política é definida em função de papéis e não em função de determinados indivíduos em especial. Se hoje existem as pessoas A, B e C ocupando o papel X, amanhã, as pessoas D, E e F podem ser associadas a esse mesmo papel sem qualquer alteração na política em si.

     

    Abraços e bons estudos! :)

ID
458980
Banca
CESPE / CEBRASPE
Órgão
HEMOBRÁS
Ano
2008
Provas
Disciplina
Banco de Dados
Assuntos

Com base nos conceitos de controle de acesso ao banco de dados,
julgue os itens subseqüentes.

Uma matriz de controle de acesso é uma tabela de sujeitos e objetos que indicam que ações os sujeitos individuais podem tomar sobre objetos individuais. Os direitos de acesso podem ser assinalados diretamente aos sujeitos ou aos objetos.

Alternativas
Comentários

  • CERTO.

    Segundo Navathe(2011,p.567),"[...] modelo de matriz de acesso, no qual as linhas de uma matriz M representam sujeitos(usuários,contas,programas) e as colunas representam objetos(relações,registros,colunas,visões,operações).Cada posição M(i,j) na matriz representa os tipos de privilégios(leitura,gravação atualização)que o sujeito i mantém sobre o objeto j.

    Bibliografia:

    SISTEMAS DE BANDO DE DADOS-6 EDIÇÃO 2011-NAVATHE

ID
459697
Banca
CESPE / CEBRASPE
Órgão
HEMOBRÁS
Ano
2008
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens a seguir, referentes a banco de dados.

Autorização de acesso ao banco, coordenação e monitoração de uso, aquisição de software e hardware são responsabilidades de um administrador de banco de dados.

Alternativas
Comentários
  • Aquisição de software e hardware como responsabilidade do DBA? Ele pode sugerir, mas os responsáveis pela aquisição não seria a alta cúpula?

    Quem puder ajudar, agradeço.
  • O DBA é o administrador do banco de dados e responsável sim pela aquisição de softwares. A dúvida do colega acima de que não é ele quem compra não tira a sua responsabilidade pela escolha dos programas. Inclusive, vale observar, atualmente existem inúmeros softwares gratuitos e, portanto, sem ter onerosidade para a empresa.

  • CERTO

    Questão retirada do livro do Navathe, 2011, p. 9:

    "O DBA é responsável por autorizar o acesso ao banco de dados, coordenar e monitorar seu uso e adquirir recursos de software e hardware conforme a necessidade. Também é responsável por problemas como falhas na segurança e demora no tempo de resposta do sistema."

  • Gaba: CERTO

    Comentários:

    #Silas Rodrigues do Rêgo Júnior

    Guerreiro a observe o enunciado: Julgue os itens a seguir, referentes a banco de dados.

    pode parecer besteira, mas já é um norte.

    Fica mais facíl de entender a compra de um softwares se tivermos exemplos práticos, se vc é um DBA e um cliente vai até vc solicitar uma solução para a loja dele, a primeira coisa que vc vai perguntar qual é o tamanho da empresa dele, suponhamos que o cliente tem um pequeno negocio que so vende brigadeiros, neste caso vc deve, até uma planilha excel atende ele, já se uma empresa como o Mercado Livre entrar em contato com vc para montar um banco de dados, o mais indicado é um ORALCE, ou seja o texto seria mais coerente falar sobre "indicação" e não compra, quem vai comprar é alta cupula, mas quem vai tomar conta e fazer tudo funcionar vai ser o DBA, então segundo a CESPE tá certo, vc (DBA) quem deu a ideia então assuma todo o risco!

  • Administradores de Banco de Dados DBA

    Em uma organização (na qual) muitas pessoas usam os mesmos recursos, há a necessidade de um administrador-chefe para gerenciar esses recursos. No ambiente de banco de dados, o principal recurso é o próprio banco de dados e, a seguir, o SGBD e os softwares relacionados. Administrar esses recursos é responsabilidade do administrador de banco de dados — database administrator (DBA).

    O DBA é o responsável pela

    ➞   Autorização para o acesso ao banco

    ➞   Coordenação e monitoração de seu uso

    ➞   Aquisição de recursos de software e hardware conforme necessário

    O DBA é o responsável por problemas como

    ➞   Brechas de segurança

    ➞   Tempo de resposta ruim do sistema

    Em grandes organizações, o DBA possui suporte de assistentes que o auxiliam no desempenho dessas funções.

    Ramez Elmasri e Shamkant B. Navathe

    Capítulo 1 Banco de Dados e os Usuários de Banco de Dados

    Página 10

  • Olá, queridos alunos(as)!

    Gabarito: Certo.

    Quais são as diferenças entre ADMINISTRADOR DE BANDO DE DADOS / ADMINISTRADOR DE DADOS?

    ADMINISTRADOR DE BANDO DE DADOS (DBA):

    RESPONSÁVEL POR:

    1-    instalar o Sistema de Gerenciamento de Banco de Dados (SGBD);

    2-    autorizar o acesso ao Banco de Dados;

    3-    coordenar e monitorar sua perfomance;

    4-    adquirir recursos de software e hardware;

    5-    é o profissional mais técnico.

    ADMINISTRADOR DE DADOS (AD):

    1-    aqui ele está preocupado com os dados;

    2-    busca: planejar, documentar, gerenciar e integrar os recursos de informações corporativos;

    3-    é o profissional mais gerencial.

    Bons Estudos!

ID
620386
Banca
IADES
Órgão
CFA
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

As regras de integridade garantem que mudanças feitas no banco de dados por usuários autorizados não resultem em perda de consistência de dados. Nesse sentido, a integridade referencial

Alternativas
Comentários

  • Integridade referencial é a relacao entre as tabelas, Pk + FK, logo alternativa C

  • Ano: 2009 Banca: FGV Órgão: MEC Prova: Administrador de Banco de Dados

     

    A restrição de integridade, na qual um valor que aparece em uma relação para um determinado conjunto de atributos aparece também em outro conjunto de atributos em outra relação (tabela), é conhecida por:

     

    a) Integridade de Duplicação.

    b) Integridade de Domínio.

    c) Integridade Referencial.

    d) Integridade de Chave.

    e) Integridade de Vazio.

     

    Resposta: C

  • Gabarito C

    Integridade referencial é um conceito relacionado à chaves estrangeiras. Este conceito diz que o valor que é chave estrangeira em uma tabela destino, deve ser chave primária de algum registro na tabela origem.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

ID
620413
Banca
IADES
Órgão
CFA
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Várias técnicas são utilizadas para garantir a integridade do Banco de Dados, entre elas o gerenciamento de transações e o controle de concorrência. Em relação aos problemas gerados pela falta de gerenciamento das transações, pode-se ter a perda de atualização dos dados, a leitura sujar os dados e a agregação incorreta. Considerando os problemas mencionados no enunciado, podemos afirmar que

Alternativas
Comentários

  • Letra A - a perda de atualização de dados pode ocorrer em decorrência de alguma falha na transação no momento que estava sendo feita uma atualização nos dados. Neste caso, devido à falha na transação, os itens manipulados voltam ao seu estado anterior, mas antes de sua ocorrência, outra transação pode ter acessado o valor do item já atualizado. ERRADA - Descreveu o conceito de leitura suja ou atualização temporária)

    Letra B - A leitura suja pode ocorrer quando duas transações que acessam os mesmos itens têm suas operações executadas de forma entrelaçada, gerando valores incorretos em um dos itens. ERRADA - Descreveu o conceito de perda de atualização.

    Letra C - CORRETA

     

    http://www.decom.ufop.br/guilherme/BCC321/geral/bd1_transacao_concorrencia_recuperacao.pdf

ID
620434
Banca
IADES
Órgão
CFA
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

A maioria das soluções de SGBD já possuem recursos para gerenciar a integridade dos dados. Desta forma, existem regras básicas que um sistema de banco de dados deve contemplar para garantir a integridade. Assinale a alternativa correta em relação ao tema.

Alternativas
ID
675523
Banca
CONSULPLAN
Órgão
TSE
Ano
2012
Provas
Disciplina
Banco de Dados
Assuntos

Nos SGBD’s existem alguns tipos de integridade, dos quais o mais elementar funciona ao nível da coluna do banco de dados. O valor do campo deve obedecer ao tipo de dados e às restrições de valores admitidos para essa coluna. É o tipo conhecido por integridade de

Alternativas
Comentários

  • Integridade de Domínio

    A integridade de domínio nada mais é do que a integridade do campo como o tipo de dados correto, se permite null ou not null, default´s, check´s constraints, estes mecanismos foram criados para dar integridade aos campos. Os tipos de dados também são caracterizados como integridade de domínio, se o tipo de dado estiver incorreto, ou com mais posições que o necessário, pode haver ali um risco que quebre a integridade. O check aqui é em nível de campo apenas por exemplo: Tenho um campo Meses e quero que entre valores de 1 até 12 somente.

  • conheço estes tipos de Integridade:
     
    -Integridade de Domínio: é a integridade de Tipo de Dados. Se o campo é Number, só deve aceitar valores do tipo Number.
     
    -Integridade de Vazio: Permite a inserção de valores vazios
     
    -Integridade de Chave: Não permite que um campo Chave Primária tenha valores repetidos.
     
    -Integridade Referencial: Não permite que seja exluidas linhas que tenham referência em outra tabela.
  • Segundo Navathe, as restrições de integridade nos bancos de dados geralmente podem ser divididas em três categorias principais:
    (1) Restrições implícitas (Restrições baseadas no modelo): São as restrições inerentes no modelo de dados. (Por exemplo, uma relação não pode ter tuplas duplicadas)
    (2) Restrições semânticas (Restrições baseadas na aplicação): São as regras de negócio.
    (3) Restrições explícitas (Restrições baseadas em esquema): Nessa categoria se incluem a restrições de domínio, restrições de chave, restrições sobre NULLs, restrições de integridade de entidade e restrições de integridade referencial.
    (a) Restrições de domínio: O valor de um campo deve obedecer a definição de valores admitidos para a coluna (o domínio da coluna)
    (b) Restrições de chave: Define que as chaves primárias e alternativas deve ser únicas.
    (c) Restrições sobre NULLs: Especifica se valores NULL são permitidos ou não.
    (d) Restrições de integridade de entidade: Afirma que nenhum valor de chave primária pode ser NULL.
    (e) Restrições de integridade referencial: Afirma que uma tupla em uma relação que referencia outra relação precisa se referir a uma tupla existente nessa relação. Em outras palavras, uma chave estrangeira de uma relação tem que coincidir com uma chave primária da sua tabela "pai" a que a chave estrangeira se refere. Ou seja, não só deve existir o atributo (campo), como também, o valor referenciado
    Navathe ainda cita duas classificações alternativas: Restrições de estado e Restrições de Transição. A primeira definem as restrições ás quais um estado válido do banco de dados precisa satisfazer (Ex. “O salário de um funcionário deve ser positivo”). A segunda, é definida para lidar com mudanças de estado no banco de dados (Exemplo: “O salário de um funcionário só pode aumentar”)
    (Fonte: Sistemas de Banco de Dados, 6ed, Navathe, Cap 3)
    A questão fala sobre a restrição de integridade que verifica os valores permitidos de um campo, ou seja, de Domínio. Gabarito letra D.

  • Integridade de entidade:  A integridade de entidade define uma linha como entidade exclusiva de determinada tabela.

    Integridade de domínio: A integridade de domínio é a validade de entradas para uma coluna específica. É possível aplicar a integridade de domínio para restringir o tipo usando tipos de dados; restringir o formato usando restrições e regras CHECK ou restringir o intervalo de valores possíveis usando as restrições FOREIGN KEY, restrições CHECK, definições DEFAULT, definições NOT NULL e regras.

    Integridade referencial: integridade referencial preserva as relações definidas entre tabelas quando linhas são digitadas ou excluídas.

    Integridade definida pelo usuário: A integridade definida pelo usuário permite definir regras comerciais que não se encaixam em outras categorias de integridade.

    https://technet.microsoft.com/pt-br/library/ms184276(v=sql.105).aspx

     

     

ID
702931
Banca
AOCP
Órgão
BRDE
Ano
2012
Provas
Disciplina
Banco de Dados
Assuntos

Sobre Integridade de Entidade, Integridade Referencial e Chave Estrangeira em Entidade e Relacionamentos, analise as assertivas e assinale a alternativa que aponta a(s) correta(s).

I. A restrição de integridade de entidade estabelece que nenhum valor de chave primária pode ser null. Isso porque o valor da chave primária é usado para identificar as tuplas individuais em uma relação.

II. Todas as restrições de integridade deveriam ser especificadas no esquema do banco de dados relacional, caso queiramos impor essas restrições aos estados do banco de dados.

III. Ter valores null para chave primária implica não podermos identificar alguma tupla.

IV. A restrição de integridade referencial é classificada entre duas relações e é usada para manter a consistência entre as tuplas nas duas relações.

Alternativas
Comentários
  • A questão trata das restrições de integridade, que são utilizadas para garantir a consistência dos dados em um banco de dados relacional.
    Alguns tipos dessas restrições são tratados nas alternativas da questão:
    Alternativa I - Restrição de entidade - define que nenhuma chave primária deve aceitar o valor "NULL", caso contrário, poderíamos ter várias tuplas com chave primária contendo o mesmo valor, ou seja, o valor NULL. Impedindo que pudéssemos identificar essas tuplas de forma única.
    Altenativa II - As restrições de integridade devem ser implementadas no próprio banco de dados. Dessa forma o SGDB pode, utilizando seus mecanismos internos, garantir, com eficiência, a consistência dos dados. Outros tipos de restrições, relacionadas às regras de negócio, serão implementadas na aplicação.
    Alternativa III - Idem à alternativa I.
    Alternativa IV - A integridade referencial é o tipo de integridade que provê a consistência de dados relacionados entre duas ou mais tabelas. Especificamente, refere-se à chave estrangeira em uma tabela e a chave primária correspondente em outra tabela, assim como quais ações os SGDB deverá executar nos dados associados às chaves estrangeiras quando ocorrerem mudanças (exclusão, alteração) na chave primária relacionada.
    Há outras restrições de integridade que precisam ser aplicadas a um BD. Exemplo: de domínio, de chave, de vazio etc.

  • Quanto à assertiva II a princípio julguei falsa, pois é possível implementar estas restrições a nível de aplicação, e não obrigatoriamente diretamente no esquema do BD. Mas depois reli com mais atenção, e a alternativa faz o uso da palavra deveriam:

     

    "Todas as restrições de integridade deveriam ser especificadas no esquema..."

     

    Logo parece mais uma recomendação do que uma obrigação, então acredito que esteja correta mesmo.

  • Pensei que o termo "deveriam" fosse nóia do Avaliador, mas não, ta exatamente como  na 4ª edição do Navathe, na 6ª, ele ja muda...

    NAVATHE,  4ª ed. cap 5, p.98 "vessículo" 5.2.4: "..Todas as restrições de integridade deveriam ser especificadas no esquema do banco de dados relacional, caso queiramos impor essas restrições aos estados do banco de dados."

    NAVATHE,  6ª ed. cap 3, p.49 "vessículo" 3.2.4: "...Todas as restrições de integridade deverão ser especificadas no esquema de banco de dados relacional (ou seja, definidas como parte de sua definição) se quisermos impor essas restrições sobre os estados do banco de dados."

ID
747205
Banca
ESAF
Órgão
CGU
Ano
2012
Provas
Disciplina
Banco de Dados
Assuntos

A ameaça de segurança em que o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação da entrada de dados de uma aplicação é conhecida como

Alternativas
Comentários
  • Injeção de SQL, mais conhecida através do termo americano SQL Injection, é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dadosvia SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entradas de dados de uma aplicação.
ID
757990
Banca
FUMARC
Órgão
TJ-MG
Ano
2012
Provas
Disciplina
Banco de Dados
Assuntos

Em relação à Segurança e Autorização em Banco de Dados, analise as seguintes sentenças, marcando (V) para verdadeira e (F) para falsa.

( ) O privilégio de SELECT sobre uma relação R já permite que se estabeleça restrição de integridade referencial para R.

( ) Mesmo se tiver recebido o privilégio de CREATE VIEW, um usuário ainda precisa receber o privilégio de SELECT em uma relação específca se quiser criar uma visão a partir dessa relação.

( ) Um privilégio concedido com GRANT OPTION permite que o usuário que o recebeu possa conceder tal privilégio a outros usuários.

( ) A concessão de privilégios não se aplica às visões.

Assinale a opção com a sequência CORRETA.

Alternativas
Comentários
  • 1) FALSO. O privilégio de SELECT não permite a criação de uma integridade referencial com a tabela, é necessário o privilégio de referência. (No Oracle é o REFERECES);
    2) VERDADEIRO. O privilégio de CREATE VIEW garante a permissão de criar views, mas como uma view é um SELECT armazenado o usuário precisa ter a permissão de executar o SELECT.
    3) VERDADEIRO. A opção GRANT OPTION que faz parte das instruções GRANT (concessão de privilégio) dá ao usuário a permissão de repassar o privilégio garantido.
    4) FALSO. Para poder consultar uma VIEW é necessário que o usuário tenha permissão de executá-la.
  • 1) FALSO. Existem os seguintes tipos de privilégios:
    - Privilegio SELECT;
    - Privilégios de modificação (UPDATE, INSERT e DELETE );
    - Privilégios de referencias em R, que é a capacidade de referenciar restrições de integridade.
    Ou seja, o privilégio de SELECT é um e o de REFERÊNCIAS é outro.

    2)  CERTO. Se o proprietário A de uma relação R quiser que outra conta B seja capaz de recuperar apenas alguns campos de R, então A pode criar uma visão V de R que inclua apenas os atributos e depois conceda SELECT em V para B, mas se B quiser criar uma visão de uma relação R, então A deverá conceder o privilégio de SELECT a B.

    3) CERTO. Sempre que o proprietário A de uma relação R concede um privilégio em R p/ outra conta B, o privilégio pode ser dado a B com ou sem a GRANT OPTION. Se a GRANT OPTION for dada, isso significa que B também pode conceder esse privilégio em R p/ outras contas.

    4) FALSO. A 1º parte da explicação na alternativa 2 justifica isso. Diz que: é possível a concessão de privilégios às visões.



    Fonte: ELMASRI, Ramez, NAVATHE, Shamkant B. Sistemas de Banco de Dados. 6. ed. São Paulo: Pearson / Prentice Hall (Grupo Pearson), 2011.

  • Rateada da banca. Deu pra matar a questão apenas sabendo a última assertiva

ID
775633
Banca
IF-PR
Órgão
IF-PR
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Considere as seguintes afirmativas:


1) A integridade referencial garante a não corrupção dos dados, de modo a não haver como existir um registro “filho” sem um registro “pai”.


2) Uma relação R está na Terceira Forma Normal, se ela estiver na Segunda Forma Normal e cada atributo não chave de R possui dependência transitiva, para cada chave candidata de R.


3) Restrições de integridade são usadas para garantir a exatidão e a consistência dos dados em um Banco de dados relacional. Existem ao todo três restrições de integridade: Integridade Referencial, Integridade da Coluna e Integridade da Relação.


Assinale a alternativa correta.

Alternativas
Comentários

  • 3) ERRADO. Restrições de integridade são usadas para garantir a exatidão e a consistência dos dados em um Banco de dados relacional. Existem 5 restrições de integridade: Integridade Referencial, Integridade da Coluna e Integridade da Relação, Integridade de vazio, Integridade definida pelo utilizador.

  • [...] está na Terceira Forma Normal, se ela estiver na Segunda Forma Normal e cada atributo não chave de R possui dependência transitiva"?

    Se possui dependência transitiva, não pode estar na 3FN.

    Marquei A.

  • Essa questão deveria ser anulada.

    A terceira forma normal é baseada na eliminação de dependências transitivas.

ID
776467
Banca
CESGRANRIO
Órgão
Chesf
Ano
2012
Provas
Disciplina
Banco de Dados
Assuntos

O Administrador de Banco de Dados (DBA) é responsável por várias tarefas críticas, tais como: assegurar que o acesso não autorizado aos dados não seja permitido e que a disponibilidade de dados e a recuperação de falhas sejam garantidas.

Uma política de segurança determina quais medidas de segurança devem ser impostas por meio de mecanismos presentes no SGDB, como o controle de acesso discricionário, cujos principais comandos são:

Alternativas
Comentários
ID
784120
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Banco de Dados
Assuntos

Com relação à autorização de acesso a banco de dados, julgue o  item  que se segue.

A autorização UPDATE pode tanto ser conferida a todos os atributos da relação como a apenas um deles. Se houver autorização UPDATE em uma declaração GRANT, a lista de atributos estará escrita entre parênteses, imediatamente após a palavra-chave UPDATE.

Alternativas
Comentários

  • Não necessariamente. Podemos ter um GRANT UPDATE ON tabela TO usuario;

    Concedo permissão de atualização a todos os campos da tabela em questão e não foi necessário por "a lista de atributos estará escrita entre parênteses" conforme afirma a questão.

    CESPE e suas incansáveis questões polêmicas e mal formuladas.

ID
784123
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Banco de Dados
Assuntos

Com relação à autorização de acesso a banco de dados, julgue o  item  que se segue.

O privilégio INSERT não pode ser utilizado para se especificar uma lista de atributos, pois qualquer inserção na relação deve referir-se a todos os atributos. Também não há atributos nulos em tuplas e em registros de uma tabela.

Alternativas
Comentários

  • A questão está errada por 2 motivos: 
    1- o uso do INSERT pode sim ser usado para especificar uma lista de atributos especificos.
    2- Pode haver atributos nulos na tabela, que serão chamados de "NULL"

  • O comando seria SELECT.

    Posso sim inserir um atributo específico.

ID
801256
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens subsequentes, relativos a ataques e vulnerabilidades.

Um ataque de SQL injection explora vulnerabilidades presentes em aplicações web, podendo ser evitado com inspeção criteriosa dos dados de entrada.

Alternativas
Comentários
  • CERTO

    é o que da a entender seu conceito: 
     SQL Injection: é uma técnica frequentemente utilizada para atacar um site. Isto é feito através da inclusão de porções de instruções SQL em uma teia,  forma campo de entrada em uma tentativa de obter o site para passar um recém-formado desonestos comando SQL para o banco de dados (por exemplo, despejar o conteúdo do banco de dados para o atacante). Injeção de SQL é uma injeção de código que explora uma técnica de vulnerabilidade de segurança no software de um site.
  • Um exemplo prático:

    Digamos que você crie uma página web (digamos, em ASP) para listar os dados de um usuário, a hospedando no seu servidor web no seguinte endereço:
    http://www.meuservidor.com/minhapagina.asp
    , e essa sua página receba como parâmetro o código do usuário, de forma que ela seja acionada da seguinte forma:
    http://www.meuservidor.com/minhapagina.asp?UserID=21

    O mais simples seria montar no código do lado do servidor uma query SQL, mais ou menos assim:
    "SELECT * FROM USUARIOS WHERE USERID =" + Request("UserID");

    Se o hacker quiser saber mais do que os dados do seu usuário, poderia chamar sua página com MAIS do que simplesmente o código:
    http://www.meuservidor.com/minhapagina.asp?UserID=21%20OR%20UserID<>21

    Dessa forma, TODAS as linhas de sua tabela seriam retornadas na página, pois o conteúdo que vem depois do código 21 seria concatenado à query sem o menor critério. Bem perigoso, não??

    Para evitar ataques de SQL Injection, existe mais de um método, e se recomenda usar o máximo possível.
    Uma boa medida é evitar sempre que possível a exposição de parâmetros na chamada ao endereço da página. No exemplo acima, evitando que o "?Userid=21" apareça no endereço do navegador. Para isto, deve-se evitar colocar valores nos links externos que apontem para a página, além de mudar o método de envio de seus formulários HTML, de GET para POST. Outra medida, que sempre que possível deve ser usada em conjunto com a anterior, é criticar todos os seus parâmetros de página, interrompendo sua execução se algo estiver errado. Se por exemplo o valor de "Request("UserID")" não for numérico, deve-se retornar um erro; Por fim, a forma (na minha humilde opinião) mais segura de se evitar o SQL Injection é transpor suas consultas para programas armazenados no servidor de Banco de Dados (em Functions ou Stored Procedures), pois nesse caso os parâmetros já terão tipos definidos e o próprio SGBD já retornará um erro em caso de tipos incorretos. Além disso, deve-se evitar também montar consultas SQL em strings grandes dentro da procedure, para garantir a correta execução da mesma logo na compilação de seu código SQL.
    Abraços e bons estudos a todos!
  • Wallace, francamente . não entendi seu comentário... você traduziu via sw?

  • CERTO.


    Segundo Navathe(2011,p.577),"São técnicas de proteção contra Injeção de SQL:

    -Variáveis de ligação(usando comandos parametrizados);

    -Filtragem da entrada(validação da entrada);

    -Segurança da função."


    SISTEMAS DE BANCO DE DADOS-6 EDIÇÃO 2011-NAVATHE.

  • Na minha opinião a questão é confusa pois não tenho como fazer uma inspeção criteriosa dos dados de entrada (considerando que não tenho controle sobre o que o atacante vai escrever), mas posso evitar que um código externo seja inserido. 

    A visão CESPE tbm passou pela minha cabeça, fiquei em dúvida.

  • Gabarito Certo

    SQL Injection é o nome dado a uma falha na codificação de uma aplicação qualquer (seja web ou local) que possibilita, por meio de um input qualquer, a manipulação de uma consulta SQL. Essa manipulação é chamada Injeção, então, o termo Injeção SQL.

    São técnicas de proteção contra Injeção de SQL:

    -Variáveis de ligação(usando comandos parametrizados);

    -Filtragem da entrada(validação da entrada);

    -Segurança da função.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
801415
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens que se seguem, acerca de máquinas virtuais, intrusão
em sistemas e técnicas de invasão de sistemas.

Ataques do tipo SQL injection exploram erros em aplicativos web que lhes permitam inserir, remover ou alterar dados em um banco de dados.

Alternativas
Comentários
  • "A SQL injection attack consists of insertion or "injection" of a SQL query via the input data from the client to the application. A successful SQL injection exploit can read sensitive data from the database, modify database data (Insert/Update/Delete), execute administration operations on the database (such as shutdown the DBMS), recover the content of a given file present on the DBMS file system and in some cases issue commands to the operating system."

    https://www.owasp.org/index.php/Guide_to_SQL_Injection
  • Segundo Navathe (2011, p.576)"Em um ataque de Injeção de SQL (SQL injection), o atacante injeta uma entrada de cadeia de caracteres pela aplicação, que muda ou manipula a instrução SQL para o proveito do atacante. Um ataque de injeção de SQL pode prejudicar o banco de dados de várias maneiras, como na manipulação não autorizada do banco de dados, ou recuperação de dados confidenciais. Ele também pode ser usado para executar comandos em nível do sistema que podem fazer o sistema negar serviço à aplicação."


    Bibliografia:

    Sistemas de Banco de dados - 6 edição 2011
    Autor: Elmasri, Navathe

  • Gabarito Certo

    Injeção de SQL (do inglês SQL Injection) é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados através de comandos SQL, onde o atacante consegue inserir uma instrução SQL personalizada e indevida dentro de uma consulta (SQL query) através da entradas de dados de uma aplicação, como formulários ou URL de uma aplicação.

    Um usuário, por meio de ataques com injeção SQL, é possível obter qualquer tipo de dado sigiloso mantido no banco de dados de um computador servidor. Dependendo da versão do banco de dados, também é possível inserir comandos maliciosos e conseguir permissão total (acesso root) à máquina em que o banco está em execução.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
813169
Banca
AOCP
Órgão
TCE-PA
Ano
2012
Provas
Disciplina
Banco de Dados
Assuntos

Uma credencial no MS-SQL Server 2008 R2 é

Alternativas
Comentários

  • Uma credencial é um registro que contém as informações de autenticação(credenciais) necessárias para conectar-se a um recurso fora do SQL Server.Essas informações são usadas internamente pelo SQL Server.A maioria das credenciais contém um nome e uma senha de usuário do Windows.

    Credenciais de sistema são criadas automaticamente e associadas a pontos de extremidade específicos.Nomes para credenciais de sistema iniciam com dois sinais de hash (##).

    Fonte: https://msdn.microsoft.com/pt-br/library/ms161950%28v=sql.120%29.aspx

  • As credenciais oferecem um modo para permitir que os usuários de Autenticação do SQL Server tenham uma identidade fora do SQL Server. Isso é usado principalmente para executar código em Assemblies com conjunto de permissões EXTERNAL_ACCESS. As credenciais podem também ser usadas quando um usuário de Autenticação do SQL Server precisa acessar recursos de um domínio, como o local de um arquivo para armazenar um backup.

    Uma credencial pode ser mapeada para vários logons de SQL Server ao mesmo tempo. Entretanto, um logon do SQL Server só pode ser mapeado para uma credencial ao mesmo tempo. Depois que uma credencial é criada, use Propriedades de Logon (página Geral Page) para mapear um logon para uma credencial.

     

    https://technet.microsoft.com/pt-br/library/ms190703(v=sql.110).aspx

ID
813172
Banca
AOCP
Órgão
TCE-PA
Ano
2012
Provas
Disciplina
Banco de Dados
Assuntos

Sobre os mecanismos de criptografia do MS-SQL Server 2008 R2, assinale a alternativa correta.

Alternativas
Comentários

  • Gabarito A

    Dentro do SQL Server, temos alguns modos de realizar a criptografia, dentre elas temos o TDE ou seja a criptografia de dados transparente, que possibilita que os arquivos físicos, como os de backup, arquivos de dados (.mdf), arquivos de log (.ldf) sejam criptografados e protegido por uma chave que é utilizada para criptografar o dados junto com o certificado.

    Esse novo recurso do SQL Server 2008 realiza em real-time a criptiografia e decriptografia dos dados nos arquivos de log e de dados. A criptografia utiliza a chave (DEK) que é armazenada na inicialização do banco de dados para isso.

    O DEK é a chave simétrica usada pelo certificado e armazenada no banco de dados master.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

ID
898141
Banca
CESGRANRIO
Órgão
BNDES
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

Qual transação segue o protocolo de bloqueio em duas fases com permissão para conversão de bloqueio?

Alternativas
Comentários

  • Segundo Navathe(2011,p.527)," Diz-se que uma transação segue o protocolo de bloqueio em duas fases se todas as operações de bloqueio (read_lock, write_lock) precedem a primeira operação de desbloqueio na transação."

    A única opção que possui UNLOCK apenas no final é a letra E.

  • O Protocolo de Bloqueio em Duas Fases consiste em:

    1. Expansão/Crescimento: todos os bloqueios são emitidos;
    2. Contração/Encolhimento: bloqueios são emitidos, e nenhum novo bloqueio pode ser emitido.

    A única alternativa que segue estritamente a ordem estabelecida pelo protocolo é a letra E).

ID
960925
Banca
IADES
Órgão
EBSERH
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

Algumas medidas de controle são usadas para fornecer segurança nos bancos de dados. O controle que regula a distribuição de informações, entre objetos acessíveis, é chamado de

Alternativas
Comentários

  • Conforme Denin lista quatro tipos de controle a fim de se obter segurança em banco de dados: Controle de acesso, controle de fluxo de informações, controle criptografico e controle de inferências. 

    O controle de fluxo de informações assegura que informações contidas em alguns objetos não fluem explicitamente (através de cópias) ou implicitamente para objetos menos protegidos que estes, e regula como a informação pode ser acessada.

    fonte:https://www.google.com.br/url?https://www.google.com.br/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&cad=rja&uact=8&ved=0CEEQFjAC&url=http%3A%2F%2Fwww.lis.ic.unicamp.br%2Fpublications%2Fmsc-and-phd-theses%2Faccess-control-in-multiversion-geographic-databases%2Fat_download%2Ffile&ei=tSxRU6jOB7ihsASnvYDIBQ&usg=AFQjCNFSfWmzBgKVYZgu5IM2CLYdy1Lxxw&bvm=bv.65058239,d.csa=t&rct=j&q=&esrc=s&source=web&cd=3&cad=rja&uact=8&ved=0CEEQFjAC&url=http%3A%2F%2Fwww.lis.ic.unicamp.br%2Fpublications%2Fmsc-and-phd-theses%2Faccess-control-in-multiversion-geographic-databases%2Fat_download%2Ffile&ei=tSxRU6jOB7ihsASnvYDIBQ&usg=AFQjCNFSfWmzBgKVYZgu5IM2CLYdy1Lxxw&bvm=bv.65058239,d.cWc

  • Controle de Acesso: É todo controle feito quanto ao acesso ao BD, impondo regras de restrição, através das contas dos usuários.

    Controle de Fluxo: É um mecanismo que previne que as informações fluam por canais secretos e violem a política de segurança ao alcançarem usuários não autorizados. Ele regula a distribuição ou fluxo de informação entre objetos acessíveis.

    Controle de Inferência: É um mecanismo de segurança para banco de dados estatísticos que atua protegendo informações estatísticas de um individuo ou de um grupo. Bancos de dados estatísticos são usados principalmente para produzir estatísticas sobre várias populações.

    Controle de Integridade: Tem por finalidade impedir que aplicações ou acessos pelas interfaces possam comprometer a integridade dos dados.

    Criptografia dos Dados: É uma medida de controle final, utilizada para proteger dados sigilosos que são transmitidos por meio de algum tipo de rede de comunicação. Ela também pode ser usada para oferecer proteção adicional para que partes confidenciais de um banco de dados não sejam acessadas por usuários não autorizados.

     

    Alternativa Correta: letra B)

     

    Fonte: http://www.diegomacedo.com.br/conceitos-sobre-seguranca-em-banco-de-dados/

  • Das diversas maneiras de se garantir a segurança dos bancos de dados, aquela que regula o trânsito dos dados entre locais acessíveis é o controle de fluxo. Este cuida para que os dados não passem por objetos de menor segurança durante o fluxo de execução de transações, para que não seja exposto a usuários não autorizados.

    Gabarito: B

  • O controle de fluxo regula a distribuição ou fluxo de informações entre objetos acessíveis. Um fluxo entre o objeto X e o objeto Y ocorre quando um programa lê valores de X e grava valores em Y. Os controles de fluxo verificam que a informação contida em alguns objetos não flui explicíta ou implicitamente para objetos menos protegidos. Assim, um usuário não pode obter indiretamente em Y o que ele ou ela não pode obter de maneira direta em X.

    Navathe

ID
985177
Banca
CESPE / CEBRASPE
Órgão
CPRM
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

A respeito da elaboração de becape e da manutenção de banco de dados, julgue o item subsecutivo.


No processo de cópia de segurança de SGBD, é necessário fazer as cópias das tabelas de dados, dispensando-se cópias das tabelas de índices, já que esses podem ser recriados posteriormente, sem que seja preciso ocupar espaço nas unidades de armazenamento das cópias.

Alternativas
Comentários

  • Errada. Não se dispensa, pois há a necessidade de se analisar o que é mais viável: a geração de índices ou a cópia.

ID
990931
Banca
CESPE / CEBRASPE
Órgão
MS
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens a seguir, relativos a sistema gerenciador de banco de dados (SGBD).

O controle de acesso a informações deve ser atribuído ao desenvolvedor de aplicações que utiliza o SGBD, dado que este não apresenta capacidade de gerenciar o acesso de usuários com diferentes perfis de acesso.

Alternativas
Comentários

  • Amigos confesso que tive uma imensa dificuldade de entender a quem o bendito "ESTE" está se referindo. Considerei ele se referindo ao termo "SGBD". Mas ainda achei confuso, pq ora parece que ele está se referindo ao termo "desenvolvedor".

    Segundo Navathe(2011,p.565),"Sempre que uma pessoa ou grupo de pessoas precisa acessar um sistema de banco de dados,o indivíduo ou grupo precisa primeiro solicitar uma conta de usuário.O DBA,então,criará um novo número de conta e senha para o usuário,se houver uma necessidade legítima para acessar o banco de dados."

    Segundo Navathe(2011,p.567),"O SGBD precisa fornecer acesso seletivo a cada relação no banco de dados com base em contas específicas."

    **Portanto, marquei o gabarito como ERRADO, em virtude dos termos "deve" e "este não apresenta"; pois o acesso ao desenvolvedor só deve ser atribuído se houver necessidade legítima e o SGBD precisa ter capacidade para gerenciar contas com diferentes perfis de acesso. 

    O.B.S: Caso alguém discorde, fiquem a vontade para mostrar meus erros. abraço. =] 

    Bibliografia:

    SISTEMAS DE BANCO DE DADOS-6 EDIÇÃO 2011-NAVATHE

  • Carlos, acredito que se estivesse se referindo ao termo "desenvolvedor" a palavra seria "aquele".

  • O “este” na segunda parte da afirmativa se refere ao SGBD. Assim, o que o examinador está alegando é que o controle de acesso deve ser realizado pelos sistemas de aplicação, não pelo SGBD, pois o SGBD não teria capacidade de fazê-lo. Contudo, você sabe que o SGBD possui diversos mecanismos de segurança que permitem sim realizar o controle de acesso de usuários com diferentes perfis. Redação complicada, mas se refletirmos um pouco conseguimos ver que a questão é falsa.

    Gabarito: E

ID
1035991
Banca
CESPE / CEBRASPE
Órgão
IPEA
Ano
2008
Provas
Disciplina
Banco de Dados
Assuntos

Com relação à segurança em bancos de dados, julgue os itens a seguir.

Criação de contas de usuários, concessão e revogação de privilégios, assim como atribuição de níveis de segurança, são atribuições da conta de sistema e não, da conta de DBA.

Alternativas
Comentários

  • Gabarito: Errado

    Definir o esquema conceitual

    Definir o esquema interno

    Contatar com os usuários

    Definir Restrições de segurança e integridade

    Monitorar o desempenho e responder a requisitos de mudanças

    Fonte: PDF do Estratégia Banco de Dados p/ UFPB

ID
1035994
Banca
CESPE / CEBRASPE
Órgão
IPEA
Ano
2008
Provas
Disciplina
Banco de Dados
Assuntos

Com relação à segurança em bancos de dados, julgue os itens a seguir.

A auditoria de banco de dados tem por finalidade a revisão do log do sistema (audit trail), para exame de acesso e operações de usuários.

Alternativas
Comentários

  • Não consegui encontrar erro aparente na questão. Vejamos:


    log do sistema = pode se referir ao SGDB, não invalida a questão

    exame de acesso e operações de usuários = não vejo como erro, pois o log armazena justamente as operações executadas e por quem foi executada. Ou seja, permite um exame de acesso e um audit trail das operações executadas.


    Acho que a questão estaria errada caso afirmasse que a única finalidade é a revisão do log do sistema (audit trail), para exame de acesso e operações de usuários.

    Quando na verdade também é verificar se as regras de negócio são seguidas e se a consistência do Banco é mantida.

  • Verificar segurança e a confiabilidade das bases no tocante à possibilidade da ocorrência de fraudes.

  • não há erro na questão, esse é o fato

ID
1035997
Banca
CESPE / CEBRASPE
Órgão
IPEA
Ano
2008
Provas
Disciplina
Banco de Dados
Assuntos

Com relação à segurança em bancos de dados, julgue os itens a seguir.

A integridade e a disponibilidade da informação no gerenciamento de banco de dados são princípios de segurança preservados pelas atividades de backup e restore.

Alternativas
Comentários

  • Correto!

    Em resumo, Backup é uma copia de segurança que envolve dois dispositivos distintos.

    O restore é o ato de se fazer uso dos dados armazenados recuperando-os (na maioria dos casos no próprio dispositivo original).

ID
1036000
Banca
CESPE / CEBRASPE
Órgão
IPEA
Ano
2008
Provas
Disciplina
Banco de Dados
Assuntos

Com relação à segurança em bancos de dados, julgue os itens a seguir.

A especificação de privilégios por meio de visões é um mecanismo de autorização obrigatório.

Alternativas
ID
1036003
Banca
CESPE / CEBRASPE
Órgão
IPEA
Ano
2008
Provas
Disciplina
Banco de Dados
Assuntos

Com relação à segurança em bancos de dados, julgue os itens a seguir.

Os privilégios no nível de atributo e no nível de relação base ou virtual são definidos para SQL2 e podem tornar complexa a criação de contas com privilégios limitados.

Alternativas
ID
1036006
Banca
CESPE / CEBRASPE
Órgão
IPEA
Ano
2008
Provas
Disciplina
Banco de Dados
Assuntos

Com relação à segurança em bancos de dados, julgue os itens a seguir.

O privilégio no nível de tabela estabelece privilégios específicos de cada conta, independentemente das relações existentes no banco de dados.

Alternativas
Comentários

  • ERRADO. Tal afirmação diz respeito ao privilégio em nível de conta, e não o privilégio em nível de tabela(relação) como afirma a questão.

    Segundo Navathe(2011,p.567),"O nível de conta. Nesse nível, o DBA especifica os privilégios em particular que cada conta mantém independentemente das relações no banco de dados."

    Bibliografia:

    SISTEMAS DE BANCO DE DADOS-NAVATHE-6 EDIÇÃO 2011

ID
1036018
Banca
CESPE / CEBRASPE
Órgão
IPEA
Ano
2008
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os seguintes itens, considerando aspectos de avaliação, otimização, gerenciamento de performance e utilitários de banco de dados.

O uso de bancos de dados distribuídos, em mais de uma localização, seja de maneira duplicada ou particionada, permite a redução de determinadas vulnerabilidades em um banco de dados.

Alternativas
Comentários

  • Resposta: E.

    Qual vulnerabilidade se reduz em um banco de dados distribuído de maneira particionada? Se fosse de maneira duplicada, eu até concordaria. Mas particionada eu não consigo enxergar. Alguém comenta?

  • Qualquer vulnerabilidade que ameace a continuidade do negócio é reduzida, assim como a perda de dados.

ID
1047223
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens subsequentes, acerca dos conceitos relacionados a bancos de dados.

O acesso de dados por meio da técnica hashing, quando o volume de dados armazenados cresce muito além do espaço inicialmente alocado, resulta em queda de desempenho nas operações de recuperação de dados.

Alternativas
Comentários
  • Questão correta, pois conforme os dados vão crescendo, o tempo de recuperação também vai crescendo.
    Isso acontece pois a ordem de complexidade da técnica de hashing é linear, ao contrário de outras técnicas de pesquisa/acesso que podem ter a sua curva de crescimento quadrática.

    Fonte: http://www.inf.ufsc.br/~ine5384-hp/Hashing/

  • Eduado , só seria O(n) se você considerar que o hashing é aberto e implementado por listas lineares. Caso contrário, o hashing fechado, por exemplo, seria O(1). Como a questão menciona "quando o volume de dados armazenados cresce muito além do espaço inicialmente alocado, resulta em queda de desempenho nas operações de recuperação de dados" sugere-se que está trabalhando com um  hashing aberto. Caso fosse implementado, por exemplo, o hashing dinâmico ou extensível não seria o(n), mas o(logn). Em todos os caso o(1) para encontrar a chave acrescido do (maior) tempo de percorrer uma lista, uma árvore, ou qualquer outra estrutura de dado associada ao hashing aberto. Como a complexidade assintótica considera sempre o maior tempo, neste caso, o hashing teria complexidade linear, logaritimica, etc como afirmou o colega abaixo.




  • http://pt.wikipedia.org/wiki/Tabela_de_dispers%C3%A3o

  • Entendo que passar a usar técnicas de hashing quando o volume de dados armazenados cresce muito além do espaço inicialmente alocado resulta em melhora do desempenho, já que o uso de hashing torna a busca mais rápida.

ID
1047247
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens subsequentes, acerca de administração de bancos de dados.

A utilização de um sistema de controle de acesso mandatório é aplicável nos casos em que a estrutura de classificação de dados do banco de dados é estática.

Alternativas
Comentários

  • No controle de acesso obrigatório (mandatory access control ou MAC) a política de acesso é determinada pelo sistema e não pelo proprietário do recurso. Este controle é utilizado em sistemas de cujos dados são altamente sensíveis, como governamentais e militares.


    Este tipo de controle possibilita conceder a diferentes usuários diferentes privilégios de acesso a diferentes objetos do banco de dados, através da utilização de comandos SQL (Structured Query Language). O conjunto de privilégios que podem ser concedidos depende da versão de SQL utilizada. O SQL padrão inclui delete, insert, select e update, e um privilégio references que restringe a capacidade do usuário de criar relações (se a relação a ser criada inclui uma chave estrangeira que se refere a atributos de outra relação, o usuário precisa ter garantido o privilégio references sobre aquele atributo).

  • CERTO!

    O MAC é muiot mais restritivo

  • Se fosse dinâmico seria o DAC(controle de acesso discricionário)

  • 'O modelo mandatório de controle de acesso é conhecido por ser mais rígido do que sua contrapartida discricionária, mantendo uma estrutura estática no que se refere aos níveis de segurança. Os usuários e objetos, por sua vez, são associados a esses níveis estáticos predefinidos.

    Gabarito: C

ID
1055128
Banca
CESPE / CEBRASPE
Órgão
BACEN
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

A respeito da utilização da interface de conexão, distribuição de dados e replicação, julgue os itens seguintes.

Tivoli Storage Manager consiste em uma coleta de programas menores que controlam mudanças para bancos de dados de origem e replicam algumas ou todas as mudanças para bancos de dados de destino. Para detectar essas mudanças, um processo de captura lê continuamente o log de recuperação do banco de dados, ao passo que outro processo incorpora as mudanças no banco de dados de destino.

Alternativas
Comentários

  • Complemento segundo a solução da IBM

    Segundo a IBM,

    "O IBM Tivoli Storage Manager fornece proteção de dados automatizada e centralizada para ajudar a reduzir os riscos associados à perda de dados. Esse software altamente escalável ajuda a gerenciar dados com menos infraestrutura e com administração simplificada. Agora é possível economizar dinheiro, melhorar os níveis de serviço e atender aos regulamentos de retenção de dados.

    O Tivoli Storage Manager automatiza as funções de backup e restauração de dados e centraliza as operações de gerenciamento de armazenamento.

    • Gerenciamento de backup e recuperação – Uma única interface do administrador permite a configuração, o monitoramento, a criação de relatórios e a execução de backup/recuperação em todo o ambiente complexo de TI.
    • Gerenciamento de armazenamento hierárquico – Permite o gerenciamento baseado em políticas do backup e do arquivamento de arquivos, com migração automática dos dados entre as camadas de armazenamento. Esse recurso reduz os requisitos de mídia de armazenamento e os custos administrativos associados ao gerenciamento dos dados.
    • Escalabilidade – Gerencie dois bilhões de objetos de dados em um único servidor do Tivoli Storage Manager.
    • Redução de dados avançada – Combina backup incremental progressivo, deduplicação de dados de origem e de destino, compactação e gerenciamento de fita. Essa tecnologia avançada reduz os custos de armazenamento de dados, diminui os requisitos ambientais e simplifica a administração."
    Site da IBM

ID
1151524
Banca
INSTITUTO AOCP
Órgão
Colégio Pedro II
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

O arquivo pg_hba.conf possui várias configurações de um banco de dados PostgreSQL, dentre essas configurações existe a configuração de método de autenticação ao banco de dados. Qual das alternativas abaixo apresenta apenas métodos válidos de autenticação?

Alternativas
Comentários

  • Alternativa:E

    https://www.postgresql.org/docs/9.3/static/auth-pg-hba-conf.html

  • trust - Permite a conexão incondicionalmente. Este método permite que
    qualquer pessoa que pode se conectar ao servidor de banco de dados
    PostgreSQL e se autenticar como o usuário que desejarem, sem a necessidade
    de senha ou qualquer outra autenticação.

     

    reject - Rejeitar qualquer conexão incondicionalmente. Isso é útil para
    "filtragem" de certos hospedeiros de um grupo, por exemplo, uma linha de
     

    md5 - Exige que o cliente forneça uma senha double-MD5-hash para
    autenticação.

     

    password - Exige que o cliente forneça uma senha não criptografada para
    autenticação. Uma vez que a senha é enviada em texto simples através da rede,
    não deve ser usado em redes não confiáveis.

     

    GSS - Use GSSAPI para autenticar o usuário. Este método só está
    disponível para conexões TCP/IP.
    sspi - Usa SSPI para autenticar o usuário. O método só está disponível no
    Windows.

     

    ident - Obtém o nome do usuário do sistema operacional do cliente
    entrando em contato com o servidor e verifica se ele corresponde ao nome do
    usuário do banco de dados. A autenticação ident só pode ser utilizada em
    conexões TCP/IP. Quando especificado para conexões locais, peer authenticatio n
    será utilizado em seu lugar.

     

    peer - Obtém o nome de usuário do sistema operacional do cliente e
    verifica se ele corresponde ao nome do usuário solicitado banco de dados. Isto
    só está disponível para conexões locais.

     

    ldap - Autentica usando um servidor LDAP.

     

    radius - Autentica usando um servidor RADIUS.

     

    cert - Autentica usando certificados de cliente SSL.

     

    pam - autentica utilizando o serviço Pluggable Authen

  • As alternativas de A a D contêm alguns métodos de autenticação que não existem no PostgreSQL. São eles:

    a) drop e accept

    b) contexto e sync

    c) free e fill

    d) prop e user

    Na letra E, temos o método trust (que aceita todas as conexões), o método md5 (que pede senha e oferece um nível mediano de segurança) e ident (método de autenticação remota que utiliza um serviço compatível com Identity Protocol na máquina do cliente).

ID
1159588
Banca
CESPE / CEBRASPE
Órgão
TJ-CE
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

A segurança é uma área importante a ser considerada pelos administradores de bancos de dados das organizações, haja vista que a segurança visa proteger os bancos de dados contra uma série de ameaças, sejam elas advindas de usuários internos ou externos. No que se refere a esse assunto, assinale a opção correta.

Alternativas
Comentários

  • vai por eliminação na letra B

     

    todas possuem um erro muito escancarado

  • a) Com a utilização de views, pode se selecionar somente alguns atributos da tabela e filtrar registros através da cláusula where. Assim, a questão erra ao dizer que não se pode restringir um conjunto de tuplas. ERRADA

    b) O controle de acesso discricionário pode ser dar em dois níveis: no nível de relação ou no nível de conta de usuário, este último não estando atrelado a nenhuma tabela específica. Esse tipo de privilégio inclui a permissão para a criação, modificação ou remoção de objetos do banco de dados. CERTA

    c) O usuário pode receber novamente o privilégio para a tabela, só que não vai acontecer nada, já que ele já possui a permissão. O comando SQL, no entanto, não apresentará nenhum erro! ERRADA

    d) Na verdade, uma das técnicas para a prevenção de ataques de SQL injection é justamente a restrição à utilização de funções do banco de dados, sejam elas nativas ou definidas pelo usuário. Isso se dá porque uma das modalidades de injeção SQL consiste justamente na realização de chamadas de função. ERRADA

    e) Essa conseguimos resolver pelo bom senso. A manutenção de um log, que no caso de aplicações de segurança é chamado de audit trail, não faz nada para prevenir o acesso não autorizado, somente permitindo que se identifique e reverta os efeitos das transações realizadas por usuários não autorizados após o fato já ter acontecido. ERRADA

    Gabarito: B

ID
1159606
Banca
CESPE / CEBRASPE
Órgão
TJ-CE
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

A respeito de replicação de dados, assinale a opção correta.

Alternativas
Comentários

  • Com relação à segurança, é mais fácil manter o controle de acesso aos dados em um ambiente centralizado do que em um ambiente de replicação. Obviamente, é mais fácil controlar os dados em um ambiente em um só nó do que em vários.

ID
1181977
Banca
COPEVE-UFAL
Órgão
UFAL
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

O processo de autenticação verifica a identidade do acesso ao banco de dados, o qual pode ser por parte de um usuário ou de um aplicativo. O estabelecimento de ajustes no parâmetro de AUTHENTICATION do arquivo de configuração de gerenciamento pode ser organizado logicamente na autenticação:

I. a partir do Servidor;
II. a partir do Cliente;
III. a partir do DCE;
IV. a partir do Kerberos.

Das autenticações acima, qual(is) está(ão) correta(s)?

Alternativas
Comentários

  • http://www.lyfreitas.com.br/ant/artigos_mba/artbancodedados.pdf, página 4, CTRL+C CTRL+V.
     

ID
1226839
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens seguintes, acerca da segurança e do tuning de banco de dados.

Para cancelar os privilégios de um usuário a uma tabela do banco de dados, deve-se utilizar o comando REVOKE.

Alternativas
Comentários
  • REVOKE ALL PRIVILEGES ON EMPREGADO FROM usuario1;

    Remove todos os privilégios do usuario1 para tabela EMPREGADO.

  • Segue outro exemplo:

    "Para revogar privilégios:
    REVOKE <privilégios> ON <nome tabela ou visão> FROM <usuários>;
    Exemplo: retirar a autorização de atualização sobre a tabela Funcionário do usuário Pedro.
    REVOKE UPDATE ON FUNCIONARIO FROM PEDRO;"

     

    - Material Estratégia Concursos- Professor Thiago Rodrigues.

  • Gabarito Certo

    Grant, revoke e deny são comandos transact-sql usados para atribuir e negar permissões para acessos a objetos e recursos. Não é raro ocorrer confusão entre os comandos DENY e REVOKE, portanto vou falar sobre cada um dos comandos e mostrar as diferenças dos mesmos.

    GRANT = utilizado para atribuir permissão ao user, para realizar uma operação;
    DENY = nega permissão a um usuário ou grupo para realizar operação em um objeto ou recurso;
    REVOKE = remove a permissão GRANT ou DENY.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • O comando REVOKE é o inverso do comando GRANT. Ao executarmos o comando REVOKE <privilégio> FROM <usuário>, estamos cancelando a permissão que aquele usuário tem de realizar a operação. Item correto!

    Gabarito: C

  • Nunca nem vi

ID
1226848
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens seguintes, acerca da segurança e do tuning de banco de dados.

Algumas empresas possuem redes com autenticação por usuário e senha, o que permite que, na verificação do perfil do usuário, sejam executados comandos no banco de dados por meio de um sistema que capture esse user.

Alternativas
Comentários

  • Será que essa questão se justifica dizendo que o AD pode ser considerado um banco de dados ???

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • "A autenticação é utilizada para testar se a pessoa que solicita o acesso é a mesma pessoa cadastrada e autorizada. Uma das formas mais comuns de autenticar o usuário é através de solicitação de senha."

    Um exemplo seria quando entramos no sistema do banco para conferir algo na conta

    bancária, o acesso será liberado após conferir se a pessoa que está acessando é a mesma

    autorizada. Podendo usar uma autenticação de múltiplos fatores.

ID
1306030
Banca
CESPE / CEBRASPE
Órgão
ANATEL
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

Acerca das tecnologias de segurança e dos ataques eletrônicos, julgue os itens a seguir.

Os ataques de SQL Injection do tipo code injection se caracterizam por tentar modificar um comando SQL já existente mediante a adição de elementos à cláusula WHERE ou a extensão do comando SQL com operadores como UNION, INTERSECT ou MINUS.

Alternativas
Comentários

  • Se eu fizesse esta questão novamente , erraria de novo.

    Segue o erro: (...)  code injection (...)          ** Não se trata de injeção de código, mas sim Manipulação de SQL.


    Segundo Navathe(2011,p.576),"Manipulação de SQL. Um ataque de manipulação,que é do tipo mais comum de ataque de injeção,muda um comando SQL na aplicação- por exemplo, ao acrescentar condições a cláusula WHERE de uma consulta, ou ao expandir uma consulta com componentes de consulta adicionais, usando operações de união como UNION,INTERSECT ou MINUS."


    Bibliografia:

    SISTEMAS DE BANCO DE DADOS-NAVATHE-6 EDIÇÃO 2011.

  • Ora, no seu texto tem o seguinte "Um ataque de manipulação,que é do tipo mais comum de ataque de injeção". Então item está correto. Só não está idêntico ao do autor.

  • O erro está no Code Injection. A descrição refere-se ao ataque do tipo SQL Manipulation:

    SQL Manipulation. A manipulation attack, which is the most common type of injection attack, changes an SQL command in the application—for example, by adding conditions to the WHERE-clause of a query, or by expanding a query with additional query components using set operations such as UNION, INTERSECT, or MINUS. 

    Code Injection. This type of attack attempts to add additional SQL statements or commands to the existing SQL statement by exploiting a computer bug, which is caused by processing invalid data. The attacker can inject or introduce code into a computer program to change the course of execution. Code injection is a popular technique for system hacking or cracking to gain information.

    Function Call Injection. In this kind of attack, a database function or operating system function call is inserted into a vulnerable SQL statement to manipulate the data or make a privileged system call. 

    Fonte: Navathe, Cap 24, Database Security


  • Segundo o Navathe [1], na página 576, há 3 tipos de Sql Injection: Manipulação de SQL, Injeção de código, Injeção de chamada de função. A questão trocou os conceitos, foi descrito o tipo Manipulação de SQL e não Injeção de código (code injection). O livro define os tipos da seguinte forma:


    "Manipulação de SQL: Um ataque de manipulação, que é do tipo mais comum de ataque de injeção, muda um comando SQL na aplicação - por exemplo, ao acrescentar condições a cláusula WHERE de uma consulta, ou ao expandir uma consulta com componentes de consulta adicionais, usando operações de união como UNION, INTERSECT ou MINUS.

    Injeção de código: Esse tipo de ataque tenta acrescentar instruções SQL ou comandos adicionais à instrução SQL existente, explorando um bug de computador, que é causado pelo processamento de dados inválidos. O atacante pode injetar ou introduzir código em um programa de computador para alterar o curso da execução. A injeção de código é uma técnica popular para a invasão ou penetração do sistema para obter informações.

    Injeção de chamada de função: Nesse tipo de ataque, uma função do banco de dados ou uma chamada de função do sistema operacional é inserida em uma instrução SQL vulnerável para manipular os dados ou fazer uma chamada privilegiada. Por exemplo, é possível explorar uma função que realiza algum aspecto relacionado à comunicação na rede."

    [1] ELMASRI, Ramez; NAVATHE, Shamkant B., Sistemas de Banco de Dados. 6. ed.



  • O code injection consiste na inserção de novas instruções ou comandos. Incrementar o mesmo comando com adição de cláusulas no WHERE ou a inclusão de UNION, INTERSECT ou MINUS no comando são exemplos de SQL manipulation.

    Gabarito: E

  • Mas a questao fala de code injection, e não de manipulação! Questão errada!!!(não fui atrás de fonte...estou confiando na fonte q o rapazinho ali em cima postou!!!)

ID
1306627
Banca
CESPE / CEBRASPE
Órgão
ANATEL
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

Acerca da consistência dos dados, julgue o item a seguir.


Os processos que optam por utilizar a consistência eventual dos dados devem garantir que as informações serão atualizadas imediatamente após sua modificação e que serão consistentes para todos os usuários da entidade.

Alternativas
Comentários

  • Acredito que a parte mais errada, e talvez a única seja essa:

    "devem garantir que as informações serão atualizadas imediatamente após sua modificação"

     

    Aguardo complemento.

  • -------------------------------------------------------------------------------

    Gerenciamento da consistência de dados

     

    O Amazon S3 oferece consistência eventual para algumas operações, portanto é possível que novos dados não estejam disponíveis imediatamente após o upload, o que pode resultar em um upload incompleto de dados ou upload de dados obsoletos. 

     

    Fonte:  https://docs.aws.amazon.com/pt_br/redshift/latest/dg/managing-data-consistency.html

    -------------------------------------------------------------------------------

     

    Portanto  a consistência eventual dos dados NÃO GARANTE que as informações serão atualizadas IMEDIATAMENTE.

  • Errado! A banca misturou atributos do Banco de Dados aplicando a ATUALIDADE junto da CONSISTÊNCIA:

    CONSISTÊNCIA: As diferentes partes do banco de dados não entram em conflito.

    ATUALIDADE: As informações deve ser inseridas no banco de dados sem atraso e com atualizações constantes.

  • Um conceito interessante derivado do teorema CAP é o da Consistência Eventual. Aqui, o sistema prioriza as escritas de dados (armazenamento), sendo o sincronismo entre os nós do servidor realizado em um momento posterior – o que causa um pequeno intervalo de tempo no qual o sistema como um todo é inconsistente. Para isso, são implementadas as propriedades Disponibilidade e Tolerância a Partição.

    http://www.bosontreinamentos.com.br/bancos-de-dados/conceitos-de-bancos-de-dados-o-teorema-cap/

  • lembrar da comparação BASE x ACID

  • A questão versa sobre consistência de dados.

    Inicialmente, vamos relembrar o conceito das propriedades desejáveis às Transações em Banco de Dados, conhecidas como propriedades ACID:

    Conforme transcrição abaixo de ELMASRI e NAVATHE (2011, p. 508):

    Atomicidade:

    Uma transação é uma unidade de processamento atômica; ela deve ser realizada em sua totalidade ou não ser realizada de forma alguma.

    Consistência:

    Uma transação deve preservar a consistência, significando que, se ela for completamente executada do início ao fim sem interferência de outras transações, deve levar o banco de dados de um estado consistente para outro.

    Isolamento:

    Uma transação deve parecer como se fosse executada isoladamente de outras transações, embora muitas delas estejam sendo executadas de maneira simultânea. Ou seja, a execução de uma transação não deve ser interferida por quaisquer outras transações que acontecem simultaneamente.

    Durabilidade

    As mudanças aplicadas ao banco de dados pela transação confirmada precisam persistir no banco de dados. Essas mudanças não devem ser perdidas por causa de alguma falha.

    Nesse sentido, as Transações ACID garantem uma Consistência Forte, isto é, garante que uma consulta sempre retornará os dados mais atuais.

    Por outro lado, nos sistemas de dados distribuídos em que não há suporte para transações ACID, adota-se uma Consistência Eventual. Isto é, retornará dados imediatamente, mesmo que esses dados não sejam a cópia mais atual. Isso decore de um atraso entre a atualização de um item de dados e o tempo necessário para propagar essa atualização para os outros nós da arquitetura distribuída (Microsoft, 2021) [2].

    Logo, a adoção de consistência eventual dos dados não garante que os usuários acessarão as informações mais atualizadas. Por exemplo, para uma mesma consulta em um banco de dados distribuído, a depender do nó de acesso e do retardo de propagação da atualização, é possível que usuários obtenham informações distintas.


    REFERÊNCIAS:
    [1] ELMASRI, R.;NAVATHE, S.B Sistemas de banco de dados. 6ª. ed. São Paulo: Pearson Addison Wesley, 2011
    [2] Microsoft. Relacional versus Dados NoSQL. 2021. Disponível em: site da documentação do .NET no sítio da Microsoft. Acesso em: 20/01/2021.


    Gabarito do Professor: ERRADO.
ID
1308916
Banca
CESPE / CEBRASPE
Órgão
ANTAQ
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

A respeito de segurança em banco de dados, julgue o item abaixo.

A principal desvantagem dos modelos de políticas de controle discricionário em relação às políticas de acesso obrigatório é a sua vulnerabilidade a ataques maliciosos.

Alternativas
Comentários

  • http://pt.slideshare.net/iorgama/s-15919704

  • CERTO.


    Segundo Navathe(2011,p.572),"A principal desvantagem dos modelos DAC é sua vulnerabilidade a ataques maliciosos, como cavalos de Troia embutidos nos programas de aplicação."

    DAC== POLÍTICAS DO CONTROLE DE ACESSO DISCRICIONÁRIO.

    Bibliografia:

    SISTEMAS DE BANCO DE DADOS-NAVATHE-6 EDIÇÃO 2011.


  • Aqui o Assunto é MAC x DAC

  • O controle de acesso discricionário apresenta como vantagem a flexibilidade, já que permite a concessão individualizada de permissões por objeto, operação e usuário. Contudo, ele tem uma maior vulnerabilidade a ataques maliciosos, já que não há controle sobre o fluxo e a destinação dos dados após a concessão do acesso, o que torna a assertiva correta. O modelo mandatório é mais seguro, mas tem utilização mais restrita por causa de sua rigidez.

    Gabarito: C

  • Uma visão bem simplificada sem termos técnicos!

    MAC = Controle de Acesso Obrigatório: O sistema "coloca etiqueta em tudo" , o que for de nível secreto só será aberto por uma pessoa com o msm nível da informação.

    DAC = Controle de Acesso Discricionário : O Dono do sistema define quem terá acesso a qual documento.

    Espero ter ajudado.

  • CERTO

    A principal desvantagem é  a vulnerabilidade a ataques maliciosos.

    Fonte: Elmasri

ID
1308955
Banca
CESPE / CEBRASPE
Órgão
ANTAQ
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens a seguir, relativos aos ataques em redes e aplicações corporativas.

Um ataque de SQL injection tenta explorar as características da linguagem SQL, principalmente do interpretador de comandos SQL, podendo danificar as informações armazenadas em um servidor, sem, entretanto, conseguir quebrar a confidencialidade desse conteúdo.

Alternativas
Comentários

  • "(...)explorar as características da linguagem SQL(...)" ERRADO, pois explora as características da aplicação.

    '(...)  sem, entretanto, conseguir quebrar a confidencialidade desse conteúdo.'     ERRADO.

     

    Segundo Navathe(2011,p.576),"Um ataque de injeção de SQL pode prejudicar o banco de dados de diversas maneiras, como na manipulação não autorizada de dados, ou recuperação de dados confidenciais."

    Segundo Navathe(2011,p.563),"Perda de confidencialidade: A confidencialidade do banco de dados refere-se à proteção dos dados contra exposição não autorizada."

     

    -----------------------------

    **Trazendo tais definições para dentro do contexto dessa questão, podemos concluir que como o SQL Injection permite a manipulação e a recuperação de dados de forma não autorizada, então ocorre sim a quebra da confidencialidade desse conteúdo.

     

    Bibliografia:

    SISTEMAS DE BANCO DE DADOS-6 EDIÇÃO 2011-NAVATHE.

  • Errado! O ataque SQL tanto pode danificar as informações de um servidor

    quanto extraí-las. Ao extrair informações, viola-se a confidencialidade do

    conteúdo.

  • Gabarito Errado

    Para acontecer um ataque de sql injection, é necessário quebrar a confidencialidade, no caso as informações do site ou o servidor web.

     

    Vamos na fé !

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • O conceito de SQL injection diz respeito à maneira com que o acesso indevido ao banco de dados é obtido. A partir desse tipo de ataque, pode-se realizar diversas operações, incluindo escalar privilégios, burlar esquemas de autenticação e executar comandos remotos, operações que dão um nível de acesso que o usuário não deveria ter.

    Assim, é falso dizer que o atacante não consegue quebrar a confidencialidade desse conteúdo, pois isso pode acontecer de diversas maneiras.

    Gabarito: E

ID
1320004
Banca
CESGRANRIO
Órgão
IBGE
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

Entre os mecanismos de segurança possíveis de um banco de dados, aqueles que são utilizados para conceder privilégios a usuários são conhecidos como mecanismos de acesso

Alternativas
Comentários

  • d) discricionário

  • Em praticamente todos os bancos de dados, o controle de acesso discricionário é implementado através do uso dos comandos GRANT e REVOKE. O comando GRANT concede privilégios sobre os objetos do banco de dados (tabelas e visões, dentre outros) a outros usuários enquanto que o comando REVOKE revoga os privilégios concedidos.


    Leia mais em: Artigo SQL Magazine 27 - Segurança em banco de dados: conceitos fundamentais http://www.devmedia.com.br/artigo-sql-magazine-27-seguranca-em-banco-de-dados-conceitos-fundamentais/6903#ixzz3rIPxMJDu

  • DAC = Discricionário = Conceder privilégios aos Users, o proprietário define o acesso

    MAC = Mandatório ou Obrigatório = O sistema define o acesso, Cada User recebe certe nível do liberação

    RCAB = Papéis

    GAB D.

ID
1321201
Banca
Quadrix
Órgão
DATAPREV
Ano
2011
Provas
Disciplina
Banco de Dados
Assuntos

Qual dos comandos, a seguir, dá permissão para que todos os usuários que têm acesso a uma base de dados possam ler o conteúdo da tabela TABLE1?

Alternativas
Comentários

  • grant select on table to PUBLIC;

    Is it possible to grant access to many tables at once to all users: 

    grant select on <table1>,<table2> to PUBLIC;


  • -- atribuindo permissão de SELECT na tabela Person.Address do banco Adventureworks200R2 para o user RH

    USE [ADVENTUREWORKS2008R2]

    GO

    GRANT SELECT ON [Person].[Address] TO [RH]


    https://gallery.technet.microsoft.com/Gerenciando-permisses-com-079d23e2

ID
1389625
Banca
CESPE / CEBRASPE
Órgão
SEGESP-AL
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

No que se refere a vulnerabilidades e ataques a sistemas computacionais, julgue o item que se segue.

Cross site scripting, SQL injection e session hijacking, cujo alvo é a vulnerabilidade de aplicações, são ataques contra a infraestrutura dos sistemas computacionais.

Alternativas
Comentários
  • Esses tipos de ataques tem como alvo os sistemas lógicos e não os sistemas físicos.

  • session hijacking == ATAQUE QUE EXPLORA O REDIRECIONAMENTO DE CONEXÕES TCP, E NÃO AS APLICAÇÕES.

  • Gabarito Errado

    Esses ataques exploram os sistemas lógicos.

    O Session hijacking tem a forma de funcionamento diferente dos outros dois.

     

    Em ciência da computação, session hijacking (em português sequestro de sessão, algumas vezes também conhecido como sequestro de cookie) é a exploração de uma sessão de computador válida, às vezes também chamada de uma chave de sessão - para obter acesso não autorizado a informações ou serviços em um sistema de computador. Particularmente é utilizado para se referir ao roubo de um cookie mágico utilizado para autenticar um usuário em um servidor remoto. Ele tem particular relevância para os desenvolvedores web, quando os cookies HTTP usados ​​para manter uma sessão em vários sites web podem ser facilmente roubados por um atacante (cracker) usando um computador intermediário ou com acesso aos cookies guardados no computador da vítima (ver roubo de cookies HTTP).

    Um método popular é usar pacotes IP de origem roteada. Isso permite que um cracker no ponto A na rede participe de uma conversa entre B e C, incentivando os pacotes IP a passarem pela sua máquina.

    Se o roteamento de origem for desligado, o cracker pode usar sequestro "cego", pelo que adivinha as respostas das duas máquinas. Assim, o cracker pode enviar um comando, mas nunca pode ver a resposta. No entanto, um comando comum seria a definição de uma senha que permite o acesso de qualquer outro lugar na rede.

    Um cracker também pode estar "in-line" entre B e C usando um programa de sniffing para observar a conversa. Isto é conhecido como um "ataque man-in-the-middle".

     

    Vamos na fé !

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Erro em vermelho, Infraestrutura está ligada ao sistema físico, porém os ataques na verdade atua no sistema lógico.

    Cross site scripting, SQL injection e session hijacking, cujo alvo é a vulnerabilidade de aplicações, são ataques contra a infraestrutura dos sistemas computacionais.

  • Acredito que seja contra o Banco de Dados

ID
1389958
Banca
VUNESP
Órgão
TJ-PA
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

No controle de acesso de um banco de dados, há o tipo de técnica na qual se atribuem níveis de proteção aos objetos do banco de dados e níveis de privilégios a grupos de usuários. O acesso de um determinado grupo a um objeto é permitido se o seu nível de privilégio for maior ou igual ao nível de proteção desse objeto. Tal técnica recebe a denominação de controle

Alternativas
Comentários

  • Em se tratando de segurança em banco de dados, atualmente existem duas abordagens conhecidas como controle discricionário e mandatário. 


    No controle discricionário, um usuário terá direitos de acesso (privilégios) diferentes sobre dados diferentes, incluindo a capacidade de acessar arquivos específicos de 33dados, campos específicos de uma tabela ou mesmo poder utilizar determinadas operações sobre a base de dados (ler, inserir, excluir, alterar, atualizar). O controle discricionário é muito flexível, pois, por exemplo, um usuário U1 pode acessar a tabela T1, mas não pode ter acesso a T2, já o usuário U2 pode acessar as tabelas T1 e T2. 

    No controle mandatário, os usuários e os dados são classificados em vários níveis de segurança, de acordo com a política de segurança da empresa. Um determinado usuário somente terá acesso aos dados que estiverem no mesmo nível de segurança ao qual lhe foi concebido. Por exemplo, imaginamos a seguinte situação: se um determinado usuário U1 possui nível de segurança N1 e o usuário U2 possui nível N2, sendo que os dados D1 e D3 possui nível N1 e os dados D2 e D4 possui nível N2. Com base no exemplo acima o usuário U1 terá acesso aos dados D1 e D3, enquanto o usuário U2 terá acesso somente aos dados D2 e D4. 


    Resposta = A


    Att

    Fabiano Fernandes

  • O modelo de controle de acesso que se baseia em níveis de segurança atribuídos a usuários e objetos é o modelo mandatório. Esse modelo é mais seguro que o modelo discricionário, já que este último apresenta vulnerabilidades a ataques maliciosos. No entanto, o controle de acesso mandatório é menos utilizado, já que é um modelo bem menos flexível.

    Gabarito: E

ID
1395904
Banca
FGV
Órgão
PROCEMPA
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

Além de usuários e papéis (roles), os mecanismos de proteção e segurança de bancos de dados baseiam-se na combinação dos seguintes elementos:

Alternativas
Comentários

  • Segundo o Livro Introdução a Sistemas de Banco de Dados C . J. Date "Tradução da 8ª edição Americana"

    Capitulo 17 Segurança

    Segurança: significa proteger os dados contra pessoas não autorizadas. De modo mais informal, significa que os usuários terão permissão de fazer aquilo que estão tentando fazer.

    Marquei a letra E)

    Mas como sempre é interessante nós buscamos a fonte das respostas. Fui ao Google Books encontra-la. Também esse livro é bem interessante do Autor Date

    http://books.google.com.br/books?hl=pt-BR&id=xBeO9LSlK7UC&q=seguran%C3%A7a#v=snippet&q=seguran%C3%A7a&f=false

  • Os mecanismos de proteção dos bancos de dados incluem o RBAC, controle de acesso baseado em papéis, como já mencionado no enunciado da questão. Além disso, temos o modelo de acesso mandatório, que consiste na classificação dos dados e dos usuários em níveis de segurança. Por fim, temos o modelo discricionário, descrito na letra E, que se utiliza da concessão e revogação de privilégios sobre os recursos do banco de dados.

    Gabarito: E

ID
1420942
Banca
Marinha
Órgão
CP-PCNS
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

As transações em um banco de dados devem possuir várias propriedades, normalmente chamadas propriedades ACID. Sobre essas propriedades é correto afirmar que

Alternativas
Comentários

  • Sobre as propriedades ACID das transações nos SGBD:

     

    1) ATOMICIDADE - Um SGBD deve possuir essa propriedade para que as transações sejam completadas em sua forma total ou de nenhuma forma, nunca um meio termo. Ou seja: caso haja alguma falha durante a execução de uma transação, a transação é desfeita.

     

    2) CONSISTÊNCIA - As transações devem fazer o Banco de Dados passar de um estado consistente para outro.

     

    3) ISOLAMENTO  - Garante que apenas UMA transação será executada por vez (exceto as de consultas), ou seja, as transações devem ser executadas como se estivessem "isoladas" das demais. As transações não devem sofrer interferência de outras transações concorrentes.

     

    4) DURABILIDADE  - É a propriedade que torna as alterações no Banco de Dados pelas transações permanentes, não podendo ser perdidas em razão de falhas.

  • O gabarito é a letra B.

     

    Uma declaração COMMIT em SQL finaliza uma transação dentro de um sistema de gerenciamento de banco de dados (SGBD) e torna visíveis aos usuários todas as alterações. Uma declaração COMMIT também liberará quaisquer savepoints que pode estar em uso.

     

    Alternativamente, uma declaração ROLLBACK pode ser emitida, o que desfaz todo o trabalho realizado.

ID
1443799
Banca
FCC
Órgão
TJ-AP
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

Uma propriedade importante quando se considera a recuperação de um banco de dados é constituída pelos chamados pontos de verificação (checkpoints). Um checkpoint consiste de um registro, cuja função é indicar que

Alternativas
Comentários

  • O checkpoint é o ponto de verificação ou registro de todas as transações ativas naquele momento. Transações na RAM, sejam confirmada ou não. 

    Navathe, 6ªed. cap 23, pag 546, item 23.1.4

  • Checkpoint

    - Suspende a execução de transações temporariamente.

    - Força a gravação em disco de todos os buffers da memó­ria principal que foram modificados.

    - Grava um registro no log e forçar a gravação do log em disco.

    - Retoma a execução das transações

    Alternativa: E

ID
1443841
Banca
FCC
Órgão
TJ-AP
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

A redundância controlada de dados em um sistema de banco de dados ocorre quando

Alternativas
Comentários

  • • A redundância controlada de dados acontece quando o software tem conhecimento da múltipla representação da informação e garante a sincronia entre as diversas representações.

    • A redundância não controlada de dados acontece quando a responsabilidade pela manutenção da sincronia entre as diversas representações de uma informação está com o usuário e não com o software

ID
1493446
Banca
FCC
Órgão
TRE-RR
Ano
2015
Provas
Disciplina
Banco de Dados
Assuntos

Considere o texto abaixo.

A melhor forma para descobrir se uma aplicação está vulnerável a este tipo de ataque é verificar se todos os usos dos interpretadores separam claramente os dados não confiáveis do comando ou consulta. Para chamadas em linguagem estruturada de consulta, isso significa utilizar variáveis de ligação em todas as instruções preparadas e procedimentos armazenados, e evitar consultas dinâmicas.

O tipo de ataque citado no texto é conhecido como

Alternativas
Comentários

  • SQL Injection ocorre por falta de tratamento de entradas possibilitando a um atacante enviar dados não confiáveis para um interpretador, geralmente são encontradas em consultas SQL, LDAP, comandos do sistema operacional etc. Para tentar proteger a aplicação os interpretadores devem identificar e restringir dados não confiáveis dos comandos e consultas e evitar consultas dinâmicas.

  • O texto da questão foi retirado integralmente daqui : https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2013_Brazilian_Portuguese.pdf

  • Gabarito C

    O SQL Injection é o nome dado a uma falha na codificação de uma aplicação qualquer (seja web ou local) que possibilita, por meio de um input qualquer, a manipulação de uma consulta SQL. Essa manipulação é chamada Injeção, então, o termo Injeção SQL. Resumindo: o SQL Injection é uma técnica de ataque baseada na manipulação do código SQL, que é a linguagem utilizada para troca de informações entre aplicativos e bancos de dados relacionais.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Letra C

     

    Olhe abaixo a mesma questão da banca, mas por um olhar invertido:

     

    Ano: 2017
    Banca: FCC
    Órgão: DPE-RS
    Prova: Analista - Segurança da Informação

     

    Nas aplicações web, as falhas de SQL Injection são introduzidas quando os desenvolvedores de software criam consultas dinâmicas a banco de dados que incluem entrada fornecida pelo usuário. Técnicas eficazes para evitar vulnerabilidades SQL Injection em aplicações web incluem o uso de
    a) tokens imprevisíveis em cada requisição de usuário.
    b) referência direta a objetos por usuário ou sessão.
    c) buffer procedures e stack SQL statements.
    d) direct statements, design patterns e frameworks.
    e) prepared statements e stored procedures.  (instruções preparadas e procedimentos armazenados)
    Letra e.

     

  • LETRA C

    O último período é fundamental para resolvermos a questão

    Para chamadas em linguagem estruturada de consulta, isso significa utilizar variáveis de ligação em todas as instruções preparadas e procedimentos armazenados, e evitar consultas dinâmicas. 

    linguagem estruturada de consulta = Structured Query Language = SQL

    instruções preparadas = Prepare Statement - Tratar a consulta

    procedimentos armazenados = Storage Procedure - Ajudam a manter a integridade

    evitar consultas dinâmicas = Usar os binds Values ou Params - Vinculam as Variáveis de Ligação a um valor

  • Ao citar a separação entre dados não confiáveis e o comando da consulta, a utilização de variáveis de ligação em instruções preparadas e procedimentos armazenados e que se evite consultas dinâmicas, o texto está descrevendo maneiras de proteção aos ataques de SQL injection.

    Gabarito: E

ID
1522060
Banca
CS-UFG
Órgão
AL-GO
Ano
2015
Provas
Disciplina
Banco de Dados
Assuntos

Injeção de SQL é uma das ameaças mais comuns a um sistema de banco de dados (SBD). Essa injeção

Alternativas
Comentários

  • Segundo https://en.wikipedia.org/wiki/SQL_injection

    uma das formas de Injeção de SQL composta (Compounded SQLI) é a SQL injection + DDoS attacks

    portanto, gabarito letra C

  • questão sem pé nem cabeça

  • SQL Injection - Injeção de SQL

    Tipos

    Poorly Filtered Strings

    Incorrect type handling

    Signature Evasion

    Filter Bypassing

    Blind SQL Injection

  • Formas clássica de se programar que dá brechas ao SQL Injection: 

    $sql = "SELECT * FROM usuarios WHERE usuario = '".$usuario."' AND senha = '".$senha."' ";

    Tratando-se de PHP por exemplo. Suponhamos que as variaveis $usuario e $senha recebem seus conteúdos digitados nos campos de um formulário através do método POST. Imagine que o conteúdo da variável $senha seja: " 'or 1='1 " " 'or 1='1 ". Se nenhuma verificação de dados (validação) for realizada, o usuário atacante conseguirá efetuar o login no sistema sem ter um cadastro válido, devido a uma falha gerada na instrução SQL

    Um Ataque de Negação de Serviço (DoS Attack = Denial of Service) é uma tentativa de tornar os recursos de um sistema indisponíveis para os seus utilizadores. Se o "caboco" conseguir acessar, tornar recursos indisponíveis será mais fácil que comer bolo.

    Gab: C

  • a) Na verdade, essa injeção pode ser utilizada quando se usa variáveis de ligação em comandos preparados, como forma de parametrizar as consultas. Não tem a ver com as variáveis serem definidas como privadas. ERRADA

    b) Na SQL injection, o atacante se aproveita de uma vulnerabilidade para realizar comandos não autorizados. Se fossem autorizados, não seria um ataque! ERRADA

    c) Essa é a nossa resposta. Os ataques de SQL injection podem ter vários efeitos nocivos no banco de dados, incluindo a ameaça à disponibilidade, mediante um ataque de negação de serviço. CERTA

    d) Há inúmeros tipos de SQL injection, entre eles o blind SQL injection e o filter bypassing. Além disso, a filtragem de entradas é que é uma das maneiras de proteção a esse tipo de ataque. ERRADA

    Gabarito: C

ID
1544338
Banca
FCC
Órgão
TCM-GO
Ano
2015
Provas
Disciplina
Banco de Dados
Assuntos

Um Auditor de Controle Externo da área de TI do TCM/GO verificou que uma aplicação utiliza a seguinte chamada SQL:

String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";

Esta mesma aplicação utiliza um framework de persistência que faz a seguinte chamada em um formato SQL adaptado:

Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");

Esta aplicação está vulnerável a ataques de

Alternativas
Comentários

  • A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entradas de dados de uma aplicação. A vulnerabilidade é explorarda porque algumas aplicações não validam entradas de usuários.

    Para se defender é possível utilizar o  “Prepared Statements” ao invés de montar expressões SQL “puras”. 


    Fonte: http://www.w3schools.com/sql/sql_injection.asp

  • request.getParameter("id") abre espaço para uma injeção.

  • A injection é possível fazer o where listar tudo. Isso é possível, por exemplo, fazendo da sempre verdadeira.

    Fontes:


    www.profalmeidajunior.com.br 
    www.apcti.com.br

  • Como vimos, a montagem dinâmica das consultas SQL com a entrada do usuário pode inserir uma vulnerabilidade a um ataque conhecido como SQL injection. No caso acima, por exemplo, o usuário poderia passar um valor para o parâmetro id contendo um caractere de escape do comando da string, o que permitiria que ele executasse mais algum outro comando.

    Por exemplo, um atacante poderia passar como valor de id algo como:

    abc'; delete from accounts where 'a' = 'a

    Encaixando na consulta SQL, o comando ficaria assim:

    SELECT * FROM accounts WHERE custID=' abc'; delete from accounts where 'a' = 'a';

    O que removeria todos os registros da tabela accounts.

    Gabarito: D

ID
1732750
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Banco de Dados
Assuntos

Julgue o próximo item no que se refere à gestão de segurança em banco de dados.

No Oracle 11g, o parâmetro PASSWORD_GRACE_TIME é usado para especificar o número de dias após o qual uma senha expirada deve ser alterada.


Alternativas
Comentários

  • PASSWORD_GRACE_TIME  Specify the number of days after the grace period begins during which a warning is issued and login is allowed. If the password is not changed during the grace period, the password expires.

     

    https://docs.oracle.com/cd/B19306_01/server.102/b14200/statements_6010.htm

     

    Gabarito: Certo

  • Apenas explicando melhor o comentário do Creison Bittencourt pra não pensarem q ele é pano preto(e tá escondendo o jogo).

    Cortesia é o periodo de uso gratuito do Oracle.

    Segundo[1], ao criar perfis, vocé também pode utilizar vårias restrigöes relacionadas com senha, incluindo as seguintes:

    (...)

    • password_life_time: Define a extensäo total de tempo que uma senha pode ser utilizada antes que ela deva ser alterada.
    • password_grace_time: Define o nümero total de dias em que vocé terå acesso de cortesia å conta, depois que a senha tiver expirado, a fim de alterar a senha. Se näo alterar a senha depois que o periodo de cortesia expi-rar, vocé näo poderå acessar a conta.

    (...)

    Fonte:

    [1] Oracle - Referência Para O Dba, Freeman,robert

ID
1740829
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Banco de Dados
Assuntos

Em relação às políticas de armazenamento de dados e funções, triggers e procedimentos armazenados, julgue o próximo item.

Caso seja acessada uma base de dados Oracle, devido aos requisitos de segurança, o uso de trigger permitirá o registro das conexões e desconexões, bem como da última atividade da sessão.

Alternativas
Comentários

  • TRIGGERS
    DEFINIÇÃO
    •   São eventos ou procedimentos  disparados em tabelas antes ou depois de determinadas operações, como: INSERT, UPDATE E DELETE.
    •   Em SQL, triggers são conhecidas como técnicas de banco de dados ativo, pois especificam ações que são disparadas automaticamente por eventos.
    •   Na linguagem SQL,  são procedimentos executados implicitamente quando ocorre determanda ação do usuário, tal qual, uma modificação de uma tabela.
    •   São muito importantes para agilizar a programação back-end de um sistema e reduzir significativamente a programação (front-end) de aplicações.
    •   Os valores utilizados para tratar internamente informações de atributos da respectiva tabela são: “new” e “old”.
    •   Pontos fundamentais observados pela utilização das triggers: (Integridade, replicação de dados e controle dos dados)

  • CERTO.

     

    "Triggers são usados para diferentes propósitos, como os seguintes:
    1. Impor regras de negócios complexas que não podem ser definidas usando as restrições de integridade
    2. Manter regras de segurança complexas
    3. Gerar automaticamente valores para colunas derivadas
    4. Coletar informações estatísticas sobre acessos a uma tabela
    5. Previr transações inválidas
    6. Fornecer valores para auditoria"

  • Em um mecanismo de trigger, é necessário especificar as condições sob as quais o gatilho deve ser executado e as ações que devem ser tomadas quando um gatilho for disparado.

ID
1740832
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Banco de Dados
Assuntos

Em relação às políticas de armazenamento de dados e funções, triggers e procedimentos armazenados, julgue o próximo item.

Situação hipotética: O gestor de um sistema solicitou a realização de auditoria nas atualizações dos registros, prevenção de transações inválidas e imposição de autorização de segurança. Assertiva: Nessa situação, se a base de dados for implementada em um banco de dados Oracle, nenhuma das demandas do gestor poderá ser atendida com o uso de trigger.

Alternativas
Comentários

  • Classe que poderá ser utilizada a Trigger!

    TRIGGERS
    DEFINIÇÃO
    •   São eventos ou procedimentos  disparados em tabelas antes ou depois de determinadas operações, como: INSERT, UPDATE E DELETE.
    •   Em SQL, triggers são conhecidas como técnicas de banco de dados ativo, pois especificam ações que são disparadas automaticamente por eventos.
    •   Na linguagem SQL,  são procedimentos executados implicitamente quando ocorre determanda ação do usuário, tal qual, uma modificação de uma tabela.
    •   São muito importantes para agilizar a programação back-end de um sistema e reduzir significativamente a programação (front-end) de aplicações.
    •   Os valores utilizados para tratar internamente informações de atributos da respectiva tabela são: “new” e “old”.
    •   Pontos fundamentais observados pela utilização das triggers: (Integridade, replicação de dados e controle dos dados)

  • ambas as demandas podem ser atendidas com o uso de trigger.

  • ERRADO.

    "Triggers são usados para diferentes propósitos, como os seguintes:
    1. Impor regras de negócios complexas que não podem ser definidas usando as restrições de integridade
    2. Manter regras de segurança complexas
    3. Gerar automaticamente valores para colunas derivadas
    4. Coletar informações estatísticas sobre acessos a uma tabela
    5. Previr transações inválidas
    6. Fornecer valores para auditoria    "

     

    - Material Estratégia Concursos, Professor Thiago Rodrigues.

  • (ERRADO)

    Não sei praticamente nada de BD, BW, BM, mas com o macete ( Tem restrição, menosprezo ?) Tem erro,

    Não quero ser Doutor em matéria nenhuma, apenas quero meu distintivo da PF

    Um dia você chega lá, continue ...

  • Caso seja acessada uma base de dados Oracle, devido aos requisitos de segurança, o uso de trigger permitirá o registro das conexões e desconexões, bem como da última atividade da sessão.

    QUESTÃO ANTERIOR

ID
1768129
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Banco de Dados
Assuntos

Considere que o capítulo sobre segurança de bancos de dados contenha recomendação de adoção de arquiteturas seguras, modelos e sistemas de controle de acesso e procedimentos de classificação, entre outros. A esse respeito, julgue o item subsequente. 

O fortalecimento da segurança de bancos de dados do ministério envolve primariamente a adoção de controle de acesso às conexões das aplicações aos servidores de bancos de dados, especialmente se efetuadas por meio de firewalls, sendo de importância secundária a construção de dicionários de dados e os procedimentos de classificação da informação.

Alternativas
Comentários

  • Gabarito Errado

    Nunca  os procedimentos de classificação da informação poderiam ficar de segundo plano.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Uma das medidas fundamentais em relação ao controle de segurança dos bancos de dados é a definição de uma política de segurança, contendo definições a respeito dos papeis de cada ator dentro da organização e as permissões que cada um deve ter. Assim, não podemos deixar em segundo plano a construção dos dicionários de dados (que irão conter essas informações da política), bem como dos procedimentos de classificação da informação.

    Gabarito: E

ID
1768132
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Banco de Dados
Assuntos

Considere que o capítulo sobre segurança de bancos de dados contenha recomendação de adoção de arquiteturas seguras, modelos e sistemas de controle de acesso e procedimentos de classificação, entre outros. A esse respeito, julgue o item subsequente. 

A adoção de controle de acessos a dados aderente ao modelo mandatório depende da adoção de procedimentos de rotulagem de segurança que sejam aplicáveis tanto aos usuários quanto aos dados.

Alternativas
Comentários

  • No controle de acesso obrigatório (mandatory access control ou MAC) a política de acesso édeterminada pelo sistema e não pelo proprietário do recurso. Este controle é utilizado em sistemas de cujos dados são altamente sensíveis, como governamentais e militares.Rótulos de sensibilidade. Em sistemas de controle de acesso obrigatório, todos ossujeitos e objetos devem ter rótulos associados. Um rótulo de sensibilidade de um sujeito define o seu nível de confiança. Um rótulo de sensibilidade de um objeto define o nível de confiança necessário para acessá-lo. Para acessar um determinado objeto, o sujeito deve ter um rótulo de sensibilidade igual ou superior ao requisitado pelo objeto.

    Em: https://pt.wikipedia.org/wiki/Controle_de_acesso

  • Perfeito! O MAC, modelo mandatório de controle de acesso, está relacionado à segregação tanto dos usuários quanto dos dados em níveis de segurança. Geralmente é utilizado o modelo Bell-LaPadula para as permissões, em que usuários podem ler objetos de nível menor ou igual e escrever em objetos de nível maior ou igual ao seu.

    Gabarito: C

  • [1]

    O controle de acesso é o processo para definir ou restringir os direitos de individuos ou aplicacoes de obter dados.

    No controle de acesso mandatårio (MAC), a politica de acesso é determinada pelo sistema e näo pelo proprietårio do recurso. O sistema que manipula mültiplos niveis de classificacäo entre sujeitos (nivel de privilégios) e objetos (nivel de sensibilidade da informacäo).

    Controle de Acesso Discricionårio (DAC)

    No controle de acesso discricionårio o proprietårio do recurso decide quem tem permissäo de acesso em determinado recurso e qual privilégio ele tem.

    Fonte:

    [1] Prof Deodato Neto, BD

ID
1794406
Banca
FCC
Órgão
MPE-PB
Ano
2015
Provas
Disciplina
Banco de Dados
Assuntos

       Uma fonte de riscos à segurança vem de aplicações que criam consultas dinamicamente, com base em condições de seleção e atributos de ordenação especificadas em um formulário HTML na web. Por exemplo, uma aplicação pode permitir que um usuário especifique qual atributo deve ser usado para ordenar os resultados de uma consulta. Uma consulta SQL apropriada é construída com base no atributo especificado. Suponha que uma aplicação Java obtenha o nome do atributo de um formulário, na variável atributo Ordem, e crie uma string de consulta como a seguinte: 

                    String query = “Select * from takes order by " + atributoOrdem; 

Considerando a situação apresentada, é correto afirmar que um usuário malicioso pode

Alternativas
Comentários

  • Alguém poderia comentar esta questão?

    Também poderia comentar porque a letra A não está certa?

  • Não entendi foi nada...para mim a alternativa (d) é justamente a única errada. O programador pode muito bem restringir o que será enviado, via código. Ou não?

  • vejam a questão Q598134. Tem o mesmo comando, mesma banca, mesmo concurso, mesmo ano, alternativas DIFERENTES. Acho que esta questão foi inserida errada.

  • Pra mim a alternativa correta é a "A". A letra D parece contraditória ao dizer que pode qualquer comando mesmo que o html tente restringir. Se restringe, então é diferente de qualquer.

  • Resposta é a D mesmo....

    Esse enviado de Satanás retirou a questão do livro: Sistema de Banco de Dados - Por Abraham Silberschatz, Henry Korth, S. Sundarshan

     

    Quem for pobre e miserável igual a mim (sem condições de comprar livros, mesmo tendo uma boa grana no banco) pode grassar um pouco do conhecimento cuspido e escarrado em ipsis litteris nessa admirável plataforma do império do mal, ops.. entenda-se Google,

     

    https://books.google.com.br/books?id=1FBaDwAAQBAJ&pg=PT583&lpg=PT583&dq=enviar+uma+string+qualquer+no+lugar+de+um+valor+significativo+de+atributoOrdem,+mesmo+que+o+formul%C3%A1rio+HTML+usado+para+receber+a+entrada+tentasse+restringir+os+valores+permitido&source=bl&ots=erG9EcVlpY&sig=tqSgjys418NNVapnm18-NuAxWZo&hl=pt-BR&sa=X&ved=0ahUKEwjS9I6RuJXbAhXGEJAKHYJhB9QQ6AEIKjAA#v=onepage&q=enviar%20uma%20string%20qualquer%20no%20lugar%20de%20um%20valor%20significativo%20de%20atributoOrdem%2C%20mesmo%20que%20o%20formul%C3%A1rio%20HTML%20usado%20para%20receber%20a%20entrada%20tentasse%20restringir%20os%20valores%20permitido&f=false

     

  • Porque o examinador quis esta opção... simples

ID
1794409
Banca
FCC
Órgão
MPE-PB
Ano
2015
Provas
Disciplina
Banco de Dados
Assuntos

       Uma fonte de riscos à segurança vem de aplicações que criam consultas dinamicamente, com base em condições de seleção e atributos de ordenação especificadas em um formulário HTML na web. Por exemplo, uma aplicação pode permitir que um usuário especifique qual atributo deve ser usado para ordenar os resultados de uma consulta. Uma consulta SQL apropriada é construída com base no atributo especificado. Suponha que uma aplicação Java obtenha o nome do atributo de um formulário, na variável atributo Ordem, e crie uma string de consulta como a seguinte: 

                    String query = “Select * from takes order by " + atributoOrdem; 

A situação apresentada acima pode se configurar em

Alternativas
Comentários

  • O caso é de uma brecha para SQL Injection. Para evitar este ataque, o campo deve ser validado para que aceite apenas valores permitidos, portanto: gabarito é a alternativa B

  • Letra B

     

    Questão retirada do livro: Sistema de Banco de Dados - Por Abraham Silberschatz, Henry Korth, S. Sundarshan

     

    https://books.google.com.br/books?id=1FBaDwAAQBAJ&pg=PT583&lpg=PT583&dq=enviar+uma+string+qualquer+no+lugar+de+um+valor+significativo+de+atributoOrdem,+mesmo+que+o+formul%C3%A1rio+HTML+usado+para+receber+a+entrada+tentasse+restringir+os+valores+permitido&source=bl&ots=erG9EcVlpY&sig=tqSgjys418NNVapnm18-NuAxWZo&hl=pt-BR&sa=X&ved=0ahUKEwjS9I6RuJXbAhXGEJAKHYJhB9QQ6AEIKjAA#v=onepage&q=enviar%20uma%20string%20qualquer%20no%20lugar%20de%20um%20valor%20significativo%20de%20atributoOrdem%2C%20mesmo%20que%20o%20formul%C3%A1rio%20HTML%20usado%20para%20receber%20a%20entrada%20tentasse%20restringir%20os%20valores%20permitido&f=false

ID
1815208
Banca
Quadrix
Órgão
COBRA Tecnologia S/A (BB)
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

A integridade entre as informações armazenadas nas tabelas, com o vínculo entre a chave primária de uma tabela com a chave estrangeira de outra tabela, é implementada pelos SGDB pelo mecanismo de:

Alternativas
Comentários

  • Gab C.

          Num banco de dados relacional, quando um registro aponta para o outro, dependente deste, há de se fazer regras para que o registro "pai" não possa ser excluído se ele tiver "filhos" (as suas dependências).
          A integridade referencial visa garantir a não corrupção dos dados, de modo a não haver como existir um registro "filho" sem um registro "pai". A tentativa de exclusão (ou alteração da chave primária - no caso, a coluna "UF") de um registo "pai" que possui registros "filhos" a ele vinculados é chamada de violação de chave estrangeira.

ID
1822852
Banca
CESPE / CEBRASPE
Órgão
TRE-PI
Ano
2016
Provas
Disciplina
Banco de Dados
Assuntos

Assinale a opção correta relativamente à segurança em banco de dados.

Alternativas
Comentários

  • http://www.diegomacedo.com.br/conceitos-sobre-seguranca-em-banco-de-dados/

  • Flaviano Pereira,

    O Navathe tem um capítulo só sobre segurança em bd.

    Acredito que o erro da E é que existem dois tipos de controle de acesso: o discricionário e o obrigatório. O citado na letra E é o discricionário.

  • Controle de Inferência

    É um mecanismo de segurança para banco de dados estatísticos que atua protegendo informações estatísticas de um individuo ou de um grupo. Bancos de dados estatísticos são usados principalmente para produzir estatísticas sobre várias populações. O banco de dados pode conter informações confidenciais sobre indivíduos. Os usuários têm permissão apenas para recuperar informações estatísticas sobre populações e não para recuperar dados individuais, como, por exemplo, a renda de uma pessoa específica.

    Controle de Fluxo

    É um mecanismo que previne que as informações fluam por canais secretos e violem a política de segurança ao alcançarem usuários não autorizados. Ele regula a distribuição ou fluxo de informação entre objetos acessíveis. Um fluxo entre o objeto A e o objeto B ocorre quando um programa lê valores de A e escreve valores em B. Os controles de fluxo têm a finalidade de verificar se informações contidas em alguns objetos não fluem explicita ou implicitamente para objetos de menor proteção. Dessa maneira, um usuário não pode obter indiretamente em B aquilo que ele ou ela não puder obter diretamente de A.

    Criptografia de Dados

    Você pode ler aqui um pouco mais sobre criptografia. É uma medida de controle final, utilizada para proteger dados sigilosos que são transmitidos por meio de algum tipo de rede de comunicação. Ela também pode ser usada para oferecer proteção adicional para que partes confidenciais de um banco de dados não sejam acessadas por usuários não autorizados. Para isso, os dados são codificados através da utilização de algum algoritmo de codificação. Assim, um usuário não autorizado terá dificuldade para decifrá-los, mas os usuários autorizados receberão chaves para decifrar esses dados. A criptografia permite o disfarceda mensagem para que, mesmo com o desvio da transmissão, a mensagem não seja revelada.

    Fonte: http://www.diegomacedo.com.br/conceitos-sobre-seguranca-em-banco-de-dados/, Diego Macêdo - Analista de T.I.

  • Os algoritmos de criptografia de chave pública são fundamentados em operações sobre modelos de bites. E  operacoes em corpos finitos

  • Alguém pode citar um exemplo de disponibilidade usando algum desses controles citados pela questão: "controle de acesso, controle de inferência, controle de fluxo e criptografia"?

    Disponibilidade tornar os dados disponíveis aos usuários ou programas com legítimo direito de acesso;

  • a) O controle de autorização para o acesso ao sistema de banco de dados é realizado por meio da atribuição de contas com senhas aos usuários. O acesso a partes específicas é gerenciado através da concessão e da revogação de privilégios. ERRADA

    b) A criptografia de chave pública ou assimétrica é fundamentada na utilização de pares de chaves: uma pública e uma privada. A chave pública pode ser compartilhada com qualquer pessoa e é geralmente utilizada para criptografar os dados. A chave privada, por sua vez, é guardada de forma segura pelo receptor da mensagem, sendo utilizada para decifrar os dados criptografados. ERRADA

    c) O controle de acesso para e-commerce (sites de compras) e para sites da web de modo geral se baseia no mesmo princípio que o dos SGBDs: a criação de conta de usuário e senha. ERRADA

    d) Na literatura especializada, consta que as propriedades que devem ser garantidas pelos mecanismos de segurança nos SGBDs são integridade, disponibilidade e confidencialidade ou sigilo. Já as maneiras com que essas propriedades são preservadas são o controle de acesso, o controle de inferência, controle de fluxo e criptografia. É justamente o que está sendo posto na assertiva. CERTA

    e) Essa alternativa tem o mesmo erro da opção a, de forma invertida. O correto seria: o controle de acesso a partes específicas do banco de dados é realizado por meio de um sistema de concessão e revogação de privilégios. ERRADA

    Gabarito: D

ID
1853179
Banca
CESPE / CEBRASPE
Órgão
FUNPRESP-EXE
Ano
2016
Provas
Disciplina
Banco de Dados
Assuntos

No que se refere aos tipos de ataques a aplicações web, julgue o próximo item.

O SQL Injection caracteriza-se por permitir que, ao se fazer um POST via formulário HTTP, a codificação base64 retorne todos os comandos que um banco SQL suporte.

Alternativas
Comentários

  • Base64 é um método para codificação de dados para transferência na Internet (codificação MIME para transferência de conteúdo) . É utilizado frequentemente para transmitir dados binários por meios de transmissão que lidam apenas com texto, como por exemplo para enviar arquivos anexos por email.

    É constituído por 64 caracteres ([A-Z],[a-z],[0-9], "/" e "+") que deram origem ao seu nome. O carácter "=" é utilizado como um sufixo especial e a especificação original (RFC 989) definiu que o símbolo "*" pode ser utilizado para delimitar dados convertidos, mas não criptografados, dentro de um stream.


    SQL Injection é uma técnica em que usuários maliciosos podem injetar comandos SQL em um procedimento SQL através da entrada de dados em uma página web. Esses comandos SQL injetados alteram um SQL já existente e que deveria processar uma requisição pré-definida. Esse SQL que pode ser injetado compromete severamente a segurança de uma aplicação web

    Leia mais em: SQL Injection em múltiplas plataformas http://www.devmedia.com.br/sql-injection-em-multiplas-plataformas/31389#ixzz42bGQnHrW

  • Post não, GET!

  • O SQL injection objetiva injetar comandos SQL em campos de entrada de dados em determinados sites ou páginas. Desse modo, quando o servidor for processar a informação enviada, como por exemplo via POST, na prática, ele vai rodar o comando SQL injetado e poderá apresentar informações indevidas, como a listagem dos usuários e senhas cadastradas no respectivo banco de dados do servidor. 

    Fonte: Estratégia Concursos

  • Gabarito: errado, a questão se refere ao comando GET.

    métodos HTTP

    GET: solicita recurso (pela URL)

    POST: envio de informações ( corpo da requisição)

    DELETE: remover recurso

    PUT: atualiza recurso

    HEAD: retorna informações sobre um recurso

  • Muita gente que não é da área comentando besteira, o erro da questão não tem nada a ver com POST ou GET e sim com a definição surreal de SQL Injection.

  • O SQL Injection caracteriza-se por permitir que, ao se fazer um POST via formulário HTTP,

    O objetivo do SQL Injection é injentar comandos ao banco de dados (Como por exemplo, permite alterar a senha de um usuário e com isso ter acesso ao sistema). Não tem nenhuma relação com arquivo do tipo base64. 

ID
1924630
Banca
Marinha
Órgão
Quadro Complementar
Ano
2012
Provas
Disciplina
Banco de Dados
Assuntos

Em relação à Segurança e à Integridade de Sistemas de Banco de Dados, um usuário pode ter várias formas de autorização sobre as partes do banco de dados, podendo ser concedida autorização para modificar esquemas do banco. É correto afirmar que a autorização

Alternativas
Comentários

  • O gabarito é a letra A.

     

    Analisando as demais alternativas:

     

    B - DROP permite a remoção de relações, e não de tuplas.

    C - DELETE permite a remoção de tuplas.

    D - UPDATE permite somente a modificação dos dados.

    E - INSERT permite somente a inserção dos dados. 

ID
1924648
Banca
Marinha
Órgão
Quadro Complementar
Ano
2012
Provas
Disciplina
Banco de Dados
Assuntos

Quanto à Segurança de Dados em um Sistema de Banco de Dados, é correto afirmar que:

Alternativas
Comentários

  • A verificação da requisição de acesso em relação às restrições de segurança é feita pelo subsistema de seguran­ça do SGBD, também conhecido por subsistema de autoriza­ção. 

  • As Alternativas D e E estão invertidas.

     

    - Controle discriminatório: determinado usuário terá, em geral, direitos de acesso (privilégios) diferentes sobre objetos diferentes. 

    - Controle Mandatório: cada objeto de dados é assinalado com certo nível de classificação, e cada usuário recebe um certo nível de liberação. 

     

    @papirobizurado

  • === LETRA A ===

    Segurança refere-se à correção dos dados. (ERRADO)

    Segurança se refere à proteção de dados contra acesso não autorizado.

    === LETRA B ===

    A verificação da requisição de acesso em relação às restrições de segurança é feita pelo subsistema de seguran­ça do SGBD, também conhecido por subsistema de autoriza­ção. (CERTO)

    === LETRA C ===

    integridade significa proteger os dados contra acessos não autorizados. (ERRADO)

    Integridade se refere à correção desses dados

    === LETRA D ===

    no controle discriminatório, cada objeto de dados é assinalado com certo nível de classificação, e cada usuário recebe um certo nível de liberação. (ERRADO)

    Controle discricionário: determinado usuário terá, em geral, direitos de acesso (privilégios) diferentes sobre objetos diferentes;

    === LETRA E ===

    no controle mandatário, determinado usuário terá, em geral, direitos de acesso (privilégios) diferentes sobre objetos diferentes. (ERRADO)

    Controle Mandatário:  cada objeto de dados é assinalado com um certo nível de classificação, e cada usuário recebe um certo nível de liberação. 

ID
1965265
Banca
Aeronáutica
Órgão
EEAR
Ano
2016
Provas
Disciplina
Banco de Dados
Assuntos

Em SQL, os comandos utilizados para conceder, retirar e controlar permissões de uso, visando à integridade e à segurança do BD, são chamados de:

Alternativas
Comentários

  • DDL – Data Definition Language ( DDL) são usadas para definir a estrutura de banco de dados ou esquema. Alguns exemplos:

    CREATE- para criar objetos no banco de dados
    ALTER – altera a estrutura da base de dados
    TRUNCATE – remover todos os registros de uma tabela, incluindo todos os espaços alocados para os registros são removidos
    COMMENT – adicionar comentários ao dicionário de dados
    RENAME – para renomear um objeto

    DML – Data Manipulation Language ( DML) são utilizados para o gerenciamento de dados dentro de objetos do banco. Alguns exemplos:

    SELECT- recuperar dados do banco de dados
    INSERT – inserir dados em uma tabela
    UPDATE – atualiza os dados existentes em uma tabela
    DELETE – exclui registros de uma tabela,
    CALL – chamar um subprograma PL / SQL
    EXPLAIN PLAN – explicar o caminho de acesso aos dados
    LOCK TABLE – controle de concorrência

    DCL – Data Control Language ( DCL ) declarações. Alguns exemplos:

    GRANT – atribui privilégios de acesso do usuário a objetos do banco de dados
    REVOKE – remove os privilégios de acesso aos objetos obtidos com o comando GRANT

    TCL – Transaction Control Language – (Controle de Transações) são usados ​​para gerenciar as mudanças feitas por instruções DML . Ele permite que as declarações a serem agrupadas em transações lógicas .

    COMMIT – salvar o trabalho feito
    SAVEPOINT – identificar um ponto em uma transação para que mais tarde você pode efetuar um ROLLBACK
    ROLLBACK – restaurar banco de dados ao original desde o último COMMIT

  • Comandos DCL -> Permissões no banco de dados.

ID
2045446
Banca
IDECAN
Órgão
DETRAN-RO
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

Acerca das regras de integridade dos bancos de dados, relacionadas às integridades de entidade e referencial, que são essenciais para um bom projeto de banco de dados, relacione adequadamente as colunas.

1. Exigência (integridade de entidades).

2. Finalidade (integridade de entidades).

3. Exemplo (integridade de entidades).

4. Exigência (integridade referencial).

5. Finalidade (integridade referencial).

6. Exemplo (integridade referencial).

(    ) Uma chave estrangeira pode ter uma entrada nula, contanto que não faça parte da chave primária de suas tabelas, ou uma entrada que coincida com o valor de chave primária de uma tabela que esteja relacionada.

(    ) Todas as entradas de chave primária são únicas e nenhuma parte dessa chave pode ser nula.

(  ) É possível que um atributo não tenha um valor correspondente, mas é impossível que tenha uma entrada inválida.

(  ) Cada linha terá uma identidade exclusiva e os valores de chave estrangeira podem referenciar de modo adequado os valores de chave primária.

(     ) Um cliente pode ainda não ter recebido a atribuição de um representante de vendas (número), mas é impossível que tenha um representante de vendas inválido (número).

(    ) Nenhuma fatura pode ter número duplicado ou ser nula. Em resumo, todas as faturas são identificadas de modo exclusivo por seu número.

A sequência está correta em

Alternativas
Comentários

  • Organizando para revisar:

     

    1. Exigência (integridade de entidades): Todas as entradas de chave primária são únicas e nenhuma parte dessa chave pode ser nula.

     

    2. Finalidade (integridade de entidades): Cada linha terá uma identidade exclusiva e os valores de chave estrangeira podem referenciar de modo adequado os valores de chave primária.

     

    3. Exemplo (integridade de entidades): Nenhuma fatura pode ter número duplicado ou ser nula. Em resumo, todas as faturas são identificadas de modo exclusivo por seu número.

     

     

    4. Exigência (integridade referencial): Uma chave estrangeira pode ter uma entrada nula, contanto que não faça parte da chave primária de suas tabelas, ou uma entrada que coincida com o valor de chave primária de uma tabela que esteja relacionada.

     

    5. Finalidade (integridade referencial): É possível que um atributo não tenha um valor correspondente, mas é impossível que tenha uma entrada inválida.

     

    6. Exemplo (integridade referencial): Um cliente pode ainda não ter recebido a atribuição de um representante de vendas (número), mas é impossível que tenha um representante de vendas inválido (número).

ID
2080369
Banca
CESPE / CEBRASPE
Órgão
TCE-PR
Ano
2016
Provas
Disciplina
Banco de Dados
Assuntos

A integridade de dados que detecta modificação, inserção, exclusão ou repetição de quaisquer dados em sequência, com tentativa de recuperação, é a integridade

Alternativas
Comentários

  • Comentário do Estratégia:

     

    "Os únicos itens que tratam da integridade são a letra A e a D. As letra B e C tratam do princípio da autenticidade, enquanto a letra E de confidencialidade.
    Assim, para a letra A, temos o grande diferencial que é a capacidade de detecção e recuperação de todos os dados. Para a letra D, temos que será aplicado o princípio de monitoramento em uma parcela específica, ou seja, uma área selecionada dos dados. Percebam que nesse caso não há recuperação, mas tão somente detecção."

     

    A base teórica é o livro Segurança de Computadores: Princípios e Práticas Por William Stallings, Lawrie Brown

     

    A tabela 1.5 no livro intitulada "Serviços de segurança" bate com a explicação do Estratégia e é a base teórica da questão.

     

    Gabarito: a)

  • Vlw Cleiton!

  • Letra A

    Pessoal, pela classificação dessa questão, ela pode remetê-lo a pensar sobre uma questão de restrições de Integridade, mas não tem nada a ver com Banco de Dados.

    Por isso o comentário bem explicado pelo Cleiton... inclusive mencionando o Stallings, que está relacionado principalmente às questões de segurança em redes de computação...

    Link para ajudar

    https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=2ahUKEwjouumqrL7iAhUKFLkGHXb6A2EQFjAAegQIAxAC&url=https%3A%2F%2Fsiunibanosasco.files.wordpress.com%2F2013%2F03%2Ftopico_02_03_conceitos_basicos_de_seguranca.ppt&usg=AOvVaw2klyPVqgDjCeTZZ0qh-TeP

  • Como o próprio nome diz, é capaz de detectar qualquer modificação, inserção, deleção ou repetição de quaisquer dados dentro de uma sequência de dado. Além disso, é capaz de recuperar a intervenção realizada.

  • Integridade de conexão com recuperação

    Provê a integridade de todos os dados de usuários em uma conexão e detecta qualquer modificação, inserção, deleção ou repetição de quaisquer dados dentro de uma sequência de dados inteira, com tentativa de recuperação de tal ação detectada.

    Stallings.

ID
2091805
Banca
CETRO
Órgão
AMAZUL
Ano
2015
Provas
Disciplina
Banco de Dados
Assuntos

Restrições de Integridade são usadas para garantir a consistência e a exatidão dos dados. Uma delas especifica quais valores podem admitir. Assinale a alternativa que apresenta o nome dessa restrição.

Alternativas
Comentários


  • Restrição de Chave
    Impede que uma chave primária se repita. Um campo chave primária diferencia de forma única os registros (linhas) de uma relação (tabela).

    Restrição de Domínio
    Definir o conjunto de valores possíveis ou permitidos que um campo pode ter.

    Integridade de vazio
    Verifica se um campo pode ou não receber valor NULL. Sub-item da integridade de domínio.

    Integridade Referencial
    Uma chave estrangeira de uma relação tem que coincidir com uma chave primária da sua tabela "pai" a que a chave estrangeira se refere. Ou seja, não só deve existir o atributo (campo), como também, o valor referenciado.

    Integridade da coluna
    Determina os valores aceitos para a respectiva coluna.
    Integridade definida pelo utilizador; 
    A integridade definida pelo usuário permite definir regras comerciais que não se encaixam em outras categorias de integridade. Todas as categorias de integridade oferecem suporte à integridade definida pelo usuário.

    https://pt.wikipedia.org/wiki/Restri%C3%A7%C3%B5es_de_integridade

  • Integridade de Dominio

ID
2096590
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Banco de Dados
Assuntos

Acerca de segurança de banco de dados e de desenvolvimento de software, julgue o item subsecutivo.

Os bancos de dados NoSQL são imunes a ataques de injeção SQL.

Alternativas
Comentários
  • NoSQL NoSQL (às vezes interpretado como Not Only SQL - Não Somente SQL) é um termo genérico para uma classe definida de banco de dados não-relacionais que rompe uma longa história de banco de dados relacionais com propriedades ACID. Outros termos equivalentes para esta categoria de bancos é NF², N1NF (non first normal form), nested relational, dimensional, multivalue, free-form, schemaless, document database e MRNN (Modelo Relacional Não Normalizado). Os bancos de dados que estão sob estes rótulos não podem exigir esquemas de tabela fixa e, geralmente, não suportam instruções e operações de junção SQL. Fonte: Wikipedia

  • A injeção de SQL está mais relacionada à falha de verificação de entradas em uma aplicação Web do que ao fato de o banco ser ou não relacional. Mesmo que se use um banco NoSQL, se a aplicação não tratar corretamente suas entradas, deixará o banco exposto a ataques de SQLi. Questão errada.

  • "NoSQL databases provide looser consistency restrictions than traditional SQL databases. By requiring fewer relational constraints and consistency checks, NoSQL databases often offer performance and scaling benefits. Yet these databases are still potentially vulnerable to injection attacks, even if they aren't using the traditional SQL syntax. Because these NoSQL injection attacks may execute within a procedural[1] language , rather than in the declarative[2] SQL language, the potential impacts are greater than traditional SQL injection."

     

    https://www.owasp.org/index.php/Testing_for_NoSQL_injection

  • Os ataques teriam que ser de NoSQL Injection e não SQL Injection, a diferença existe!! 

    Como vc vai ter injeção de comandos SQL se vc n roda SQL? 

    Vc permanece vulnerável a ataques de injeção? SIM!! Mas injeções SQL? NÃO! De outro tipo! 

    Na teoria eles são imunes a ataques SQL, mas vulneráveis a injeções NoSQL.

    AAAhhhh, mas o examinador está usando a expressão SQL Injection num sentido mais amplo..... puta duma sacanagem, isso sim!

  • P mim foi tensa essa questao...

  • ERRADO

    Pensei no simples

    NoSQL -> NOT ONLY SQL. Logo, não são imunes a ataques de injeção SQL.

    Não sei se viajei. Abç

    @prof.lucasmicas

ID
2213377
Banca
Marinha
Órgão
Quadro Técnico
Ano
2009
Provas
Disciplina
Banco de Dados
Assuntos

As restrições de integridade subdividem-se em quatro categorias. Quais são elas?

Alternativas
Comentários

  • As restrições de integridade podem ser de quatro tipos: domínio (também conhecidas como type), atributo, relvar (variável relacional) e restrições de base de dados.

  • Item 9.9 do livro do Date, 8°ed.
ID
2375869
Banca
COPESE - UFJF
Órgão
UFJF
Ano
2017
Provas
Disciplina
Banco de Dados
Assuntos

Avalie as sentenças a seguir:
I . Visões em um Banco de Dados (View) podem ser vistos como um mecanismo de segurança em Banco de Dados uma vez que permitem criar restrições de acesso a atributos de uma tabela, assim como parte de suas tuplas.
II . O comando GRANT concede privilégios específicos para um objeto (por exemplo, tabela, visão, banco de dados, função) para um ou mais usuários. Caso um usuário/grupo já tenha um determinado privilégio, a nova execução sobrescreve os privilégios anteriores.
III . O privilégio GRANT OPTION permite que um usuário de um Banco de Dados passe adiante seus privilégios a outros usuários.
IV . A concessão de privilégios não se aplica às visões.
Assinale a alternativa CORRETA:

Alternativas
Comentários

  • I - V, II - F, III - V, IV - F

  • "Se for especificado WITH GRANT OPTION quem receber o privilégio poderá, por sua vez, conceder o privilégio a terceiros."

    http://pgdocptbr.sourceforge.net/pg82/sql-grant.html

     

    Fiquei na dúvida da acertiva III, pois o GRANT sozinho não faria isso só se estivesse com o WITH que além de repassar os privilégios repassa a capacidade de repassar para outros. Alguém puder dissertar sobre, agredeceria.

  • O erro da II é o trecho "a nova execução sobrescreve os privilégios anteriores"?

  • Sávio, isso mesmo.

    O erro da II é o trecho "Caso um usuário/grupo já tenha um determinado privilégio, a nova execução sobrescreve os privilégios anteriores.".

    Pensando nessa frase imagine que um usuário tenha permissões de criar views. Depois, digamos que o DBA dê a este usuário as permissoes de criar tabelas. Se assertiva II estivesse correta, o usuário perderia o privilégio de criar views pois esta seria sobrescrita pela última. Neste caso, seria o mesmo que dizer que a cláusula GRANT serve tanto para atribuir quanto para revogar privilégios, o que não é verdade.

     

    A clausula GRANT serve apenas para tribuir privilégios. Para revogá-los, deve-se utilizar o REVOKE.

  • I. As views permitem que se filtre os dados das tabelas de origem ou se selecione somente alguns de seus atributos. Assim, elas podem ser vistas como um mecanismo de segurança de banco de dados, já que é possível a concessão de acesso a determinados usuários somente às views, sem a necessidade que eles enxerguem as tabelas de origem. CERTA

    II. O comando GRANT permite conceder privilégios para realizar operações em determinados objetos. No entanto, ao se conceder um novo privilégio para um mesmo usuário, o anterior não é sobrescrito. Um mesmo usuário ou grupo pode ter para si definidos diversos comandos GRANT, um para cada par {operação, objeto}. ERRADA

    III. É verdade! Ao se utilizar o comando WITH GRANT OPTION ao final da concessão de um privilégio, o usuário receptor dessa permissão irá poder propagar o mesmo privilégio para outros usuários do banco de dados. CERTA

    IV. É possível sim que se conceda acesso de leitura a visões, inclusive sem que seja necessário que o usuário tenha privilégios nas tabelas de origem. Esse é, inclusive, um dos mecanismos de segurança dos bancos de dados, assim como vimos no item I. ERRADA

    Gabarito: D

ID
2382571
Banca
FCC
Órgão
MPE-AM
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

Dentre os métodos de autenticação para acesso aos bancos de dados, inclui-se

Alternativas
Comentários

  • A identificação e autenticação fazem parte de um processo de dois passos que determina quem pode acessar determinado sistema. Durante a identificação o usuário diz ao sistema quem ele é (normalmente através de um nome de usuário). Durante a autenticação a identidade é verificada através de uma credencial (uma senha, por exemplo) fornecida pelo usuário. Atualmente, com a popularização tecnológica, reconhecimento por , MiFare ou  estão substituindo, por exemplo, o método de credencial (nome e senha).

ID
2382616
Banca
ESPP
Órgão
MPE-PR
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

A maioria das aplicações de bancos de dados possui certas restrições de integridade que devem ser mantidas para os dados. Um sistema gerenciador de banco de dados deve oferecer capacidades para definir e importais restrições. O tipo mais simples de restrição de integridade envolve especificar um tipo de dado para cada item de dado. Um tipo de restrição mais complexo, que ocorre com frequência, envolve especificar que um registro em um arquivo deve estar relacionado a registros em outros arquivos. Isso é conhecido como restrição de:

Alternativas
Comentários

  • Gabarito Letra D
     

    Tipos de integridade

    Integridade de Domínio: restringe os valores válidos que podem ser associados a um determinado atributo.

    Integridade de Chave primária (unicidade): Garante a unicidade do valor da chave primária em cada uma das tuplas de uma relação.

    Integridade de Vazio: impede que uma célula tenha ou não tenha valor nulo (NULL)

    Integridade de Entidade: todas as relações existem uma chave primária e não haverá nenhum tuplo cuja chave tenha valor nulo

    Integridade Referencial: estabelece que o valor de uma chave estrangeira pode ser NULL, ou que o valor chave primária apareçam na chave estrangeira na relação de onde foi importada a chave.

    Integridade Semântica: garante que os dados estejam sempre corretos (Valor válido) em relação ao domínio de aplicação.

    bons estudos

ID
2479198
Banca
COPEVE-UFAL
Órgão
MPE-AL
Ano
2012
Provas
Disciplina
Banco de Dados
Assuntos

Analisando as afirmações seguintes, referentes à técnica de ataque por injeção de SQL (do inglês SQL injection),

I. É uma das ameaças mais comuns enfrentadas por sistemas de banco de dados, especialmente sistemas baseados na Web.

II. É considerado um ataque de pouca gravidade, uma vez que não possibilita o acesso a informações confidenciais e nem manipulação não autorizada do banco de dados.

III. É caracterizado pela injeção de uma cadeia de caracteres que manipula ou muda completamente o comando SQL que seria executado no SGBD.

IV. Apesar de ser considerado grave, esse tipo de ataque não possibilita ao atacante executar comandos remotos no lado servidor.

verifica-se que estão corretas

Alternativas