ID 1707658 Banca EXATUS Órgão BANPARÁ Ano 2015 Provas EXATUS - 2015 - BANPARÁ - Técnico em Informática Disciplina Segurança da Informação Assuntos Análise de Vulnerabilidade e Gestão de Riscos Segurança de sistemas de informação Sobre Controle de falhas em aplicações (OWASP - Open Web Application Security Project) é incorreto afirmar: Alternativas As falhas de Injeção acontecem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta. Assim pode-se iludir o interpretador para que este execute comandos indesejados ou permita o acesso a dados não autorizados. Com o intuito de garantir uma maior segurança, há a necessidade de definir uma configuração segura e implementada na aplicação, frameworks, servidor de aplicação, servidor web, banco de dados e plataforma. Não é necessário manter o software atualizado, mas essas configurações devem ser definidas, implementadas e mantidas, uma vez que a configuração padrão normalmente é insegura. Aplicações web podem não proteger devidamente os dados sensíveis, como cartões de crédito e outros. Desta forma pode-se roubar esses dados desprotegidos com o propósito de realizar fraudes/crimes. Portanto dados sensíveis devem ter proteção extra como criptografia no armazenamento ou em trânsito, além de precauções especiais quando trafegadas pelo navegador. Componentes como bibliotecas e frameworks geralmente são executados com privilégios elevados. Caso exista um componente que esteja vulnerável, ele pode ser explorado, gerando um ataque que pode causar sérias perdas de dados ou até o comprometimento do servidor. É comum que as aplicações web redirecionem e encaminhem usuários para outras páginas e sítios, usando dados não confiáveis para determinar as páginas de destino. Se não houver uma validação adequada, os atacantes podem redirecionar as vítimas para sites de phishing ou malware, ou usar encaminhamentos para acessar páginas não autorizadas. Responder Comentários De acordo com o OWASP 2013:a) A1 – Injeção (Injection)b) A5 - Configuração Incorreta de Segurança (Security Misconfiguration)O errado dessa alternativa é a parte de Não é necessário manter o software atualizadoc) A6 – Exposição de Dados Sensíveisd) A9 – Utilização de Componentes Vulneráveis Conhecidose) A10 – Redirecionamentos e Encaminhamen-tos Inválidos Dizer que não é necessário manter o software atualizado não dá. Não é mesmo? Olha o top 10 sendo cobrado ai tem que saber as definições de cada um deles