SóProvas

ID
2096620
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o seguinte item, relativo à segurança de aplicativos web.

A técnica de fuzzing do OWASP ZAP fornece entradas não válidas para qualquer tipo de mecanismo de entrada. 

Alternativas
Comentários

  • ZAP (Zed Attack Proxy Project) da OWASP é uma ferramenta que pode apoiar no PEN TEST (Teste de Penetração).e no item SQL Injection.

    Fuzzing é uma técnica de testes de software, frequentemente automatizada ou semi-automatizada, que envolve prover inválidos, inesperados e aleatórios dados como entradas para programas de computador. O programa é então monitorado, analisando exceções como erros em tempo de execução. Fuzzing é uma técnica comumente utilizada para testar problemas de segurança em softwares ou sistemas computacionais.

     

  • OWASP Zed Attack Proxy (ZAP) é uma das ferramentas de segurança gratuitas mais populares do mundo e é ativamente mantido por centenas de voluntários internacionais. Pode ajudá-lo a encontrar automaticamente vulnerabilidades de segurança em seus aplicativos da Web enquanto você está desenvolvendo e testando seus aplicativos. É também uma ótima ferramenta para experientes pentesters para usar para testes de segurança manual.

  • O gabarito é Certo.

     

    Uma das maiores preocupações em aplicações Web é o vazamento de informações confidenciais. E uma das práticas mais usadas é o SQL Injection.

     

    A Injeção de SQL, mais conhecida através do termo americano SQL Injection, é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entradas de dados de uma aplicação.

     

    Para estarmos seguros, é extremamente importante em nosso ciclo de testes, abordarmos o PEN TEST (Teste de Penetração).

     

    O teste de penetração é um método que avalia a segurança de um sistema de computador ou de uma rede, simulando um ataque de uma fonte maliciosa. O processo envolve uma análise nas atividades do sistema, que envolvem a busca de alguma vulnerabilidade em potencial que possa ser resultado de uma má configuração do sistema, falhas em hardwares/softwares desconhecidas, deficiência no sistema operacional ou técnicas contramedidas. Todas as análises submetidas pelos testes escolhidos são apresentadas no sistema, junto com uma avaliação do seu impacto e muitas vezes com uma proposta de resolução ou de uma solução técnica.

     

    E uma ferramenta gratuita que pode apoiar no PEN TEST e no item SQL Injection é a ZAP (Zed Attack Proxy Project) da OWASP.

  • CERTO

    Ele é projetado para ajudar a encontrar bugs que ainda não são conhecidos. Fazem isso construindo entradas aleatórias ou pseudo-aleatórias.

    Os erros podem ser analisados e transformados em uma exploração de trabalho para melhorar a segurança de softwares e sistemas.