SóProvas

ID
1750822
Banca
FCC
Órgão
TRE-AP
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

 Considere os cenários I e II.

I. Um site não usa SSL em todas as páginas autenticadas. O atacante simplesmente monitora o tráfego de rede (como uma rede wireless aberta), e rouba o cookie de sessão do usuário. O atacante então reproduz este cookie e sequestra a sessão do usuário, acessando dados privados do mesmo.

II. O banco de dados de senhas dos usuários usa hashes simples (unsalted) para armazenar as senhas de todos. Uma falha de upload de arquivos permite que um atacante recupere o arquivo de senhas. Todos os hashes simples poderão ser expostos através de uma rainbow table de hashes pré-calculados.

Os cenários I e II podem expor uma aplicação a riscos conhecidos como 

Alternativas
Comentários

  • Gabarito: D.

     

    Exposição de Dados Sensíveis - os atacantes podem roubar ou modificar dados desprotegidos com o propósito de realizar fraudes de cartões de crédito, roubo de identidade, ou outros crimes. Os dados sensíveis merecem proteção extra como criptografia no armazenamento ou em trânsito, bem como precauções especiais quando trafegados pelo navegador.

     

    Eu fiz essa questão quatro vezes. Em três delas eu marquei  C.

     

    Quebra de autenticação e Gerenciamento de Sessão - as funções da aplicação relacionadas com autenticação e gerenciamento de sessão geralmente são implementadas de forma incorreta, permitindo que os atacantes comprometam senhas, chaves e tokens de sessão ou, ainda, explorem outra falha da implementação para assumir a identidade de outros usuários.

     

    Ainda não consegui diferenciar muito bem esses dois conceitos. Na minha opinião, dependendo da abordagem, eles se confundem um pouco.

  • I - Na medida em que se não usa SSL não existe criptografia, assim temos dados sensíveis expostos.

    II - falha de upload de arquivos, permite que atacante recupere o arquivo que estão com hashes simples que serão decifrados com a rainbow de hashes pre-calculado - novamente exposição de dados sensiveis.

     

     

  • Parace que "Quebra de Autenticação e Gerenciamento de Sessão" está ligado a implementações incorretas.
    Como os Cenários I e II são implementações fracas, mas não incorretas, deve ser por isso que a resposta é a D.

  • LETRA D

    Vale apena observar a questão:

    Os cenários I e II podem expor uma aplicação a riscos conhecidos como

    A banca trouxe duas situações e dado esses acontecimentos a quais riscos a aplicação está exposta. Veja, A QUESTÃO NÃO QUER O TIPO DE ATAQUE, O MEIO DE ATAQUE, A FORMA DE ATAQUE, ela só quer saber O QUE PODERIA ACONTECER EM TAIS SITUAÇÕES.

    Logo, temos que os dados poderiam ser expostos.