SóProvas

ID
1768138
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Considere que o capítulo sobre segurança de aplicações contenha proposta de adoção de uma metodologia de desenvolvimento de aplicações com segurança fundamentalmente embasada na metodologia OWASP (open web application security project), envolvendo uma proposta de processo de desenvolvimento de aplicações aderente ao arcabouço software assurance maturity model da OWASP, conhecido como SAMM ou OpenSAMM, em combinação com aspectos técnicos como arquiteturas seguras para aplicações web, análise de vulnerabilidades, testes de invasão, gestão de patches e ataques. Nesse contexto, julgue o item seguinte.

No tópico segurança de aplicações web, o plano deve considerar o ataque de injeção como sendo um dos mais importantes em comparação aos demais, seja pela sua facilidade de explorabilidade (explotability) com o uso de scanners e fuzzers, seja pela facilidade com que podem ocorrer incidentes de alto impacto técnico, tais como vazamento de dados, perda de integridade (adulteração) e perda de contabilização.

Alternativas
Comentários

  • Gabarito Certo

    Os ataques por injeção de SQL são uma prática antiga, mas ainda bastante comum no mundo corporativo. Trata-se de um método que ataca aplicações web que possuem um repositório de dados.

    Diferentemente dos ataques distribuídos de negação de serviço (em inglês, Distributed Denial of Service – DDoS), que podem ser executados independentemente da arquitetura do servidor, os ataques por injeção de SQL dependem apenas da presença de uma falha no software do alvo, ou do uso de más práticas de código.

    No passado, empresas como Yahoo e The Pirate Bay, universidades e pequenos serviços governamentais foram vítimas desse tipo de ataque.

    A maioria dos aplicativos web usa uma linguagem conhecida como SQL. Os ataques por injeção de SQL consistem no envio de um código SQL especialmente projetado para causar alguma ação maliciosa. O aplicativo então incorpora o código à sua estrutura e, no final, a injeção de SQL acaba garantindo ao hacker acesso à base de dados, expondo informações, ou até dando permissão de escrita e controle total dos dados.

    POR QUE ESSE TIPO DE ATAQUE AINDA É COMUM

    Um dos motivos pelos quais os ataques por injeção de SQL ainda são comuns é que as vulnerabilidades e os atrativos dos alvos desses ataques ainda existem. Bases de dados contendo informações críticas para uma aplicação nunca deixaram de ser interessantes para os hackers.

    Além disso, ataques por injeção de SQL não precisam de muito para serem bem sucedidos. Basta um único computador, um pouco de paciência, tentativa, erro, ingenuidade e um pouco de sorte para dar certo.

    Alguns ataques resultam de desenvolvimento preguiçoso e más práticas de programação, mas, na realidade, há vários outros erros que comuns que as empresas ainda cometem. Conheça alguns:

    Ignorar os princípios mínimos de privilégios;

    Conglomerar dados sensíveis;

    Confiar cegamente nas entradas de usuários.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • GABARITO: CERTO.