SóProvas

ID
1768141
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Considere que o capítulo sobre segurança de aplicações contenha proposta de adoção de uma metodologia de desenvolvimento de aplicações com segurança fundamentalmente embasada na metodologia OWASP (open web application security project), envolvendo uma proposta de processo de desenvolvimento de aplicações aderente ao arcabouço software assurance maturity model da OWASP, conhecido como SAMM ou OpenSAMM, em combinação com aspectos técnicos como arquiteturas seguras para aplicações web, análise de vulnerabilidades, testes de invasão, gestão de patches e ataques. Nesse contexto, julgue o item seguinte.

No tópico segurança de aplicações web, o plano deve considerar o ataque de quebra de autenticação e de gerenciamento de sessão como sendo um dos mais importantes em relação aos demais, seja porque é comum aos desenvolvedores de software adotarem esquemas de autenticação e gerenciamento de sessão próprios e que contém falhas, seja porque possibilitam a execução de scripts nos navegadores das vítimas, facilitando a pichação de sítios web e o sequestro do navegador do usuário, entre outros impactos de negócio.

Alternativas
Comentários

  • Quebra de Autenticação e Gerenciamento de Sessão : As funções da aplicação relacionadas com autenticação e gerenciamento de sessão geralmente são implementadas de forma incorreta, permitindo que os atacantes comprometam senhas, chaves e tokens de sessão ou, ainda, explorem outra falha da implementação para assumir a identidade de outros usuários.

     

    Cross-Site Scripting (XSS) : Falhas XSS ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. XSS permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites, ou redirecionar o usuário para sites maliciosos.

     

    Ou seja, a questão misturou os dois conceitos.

     

    [Fonte : https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2013_Brazilian_Portuguese.pdf ]

  • (...) seja porque possibilitam a execução de scripts nos navegadores das vítimas, facilitando a pichação de sítios web e o sequestro do navegador do usuário, entre outros impactos de negócio.

    CREIO QUE A PARTE GRIFADA SE REFIRA AO CROSS-SITE SCRIPTING (XSS), E NÃO ATAQUE QUEBRA DE AUTENTICAÇÃO.

  • (...)seja porque é comum aos desenvolvedores de software adotarem esquemas de autenticação e gerenciamento de sessão próprios(...)

    Eu marquei errado por causa desse trecho. Por tudo que estudei os desenvolvedores adotam protocolos de autenticação e de gerenciamento de sessão públicos e abertos, e não próprios. O que acham?