SóProvas

ID
2624326
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de testes de penetração, julgue o item seguinte.


Situação hipotética: O acesso a uma aplicação web com permissão de administrador é realizado por meio do valor informado em uma variável, conforme a seguir.


http://www.site.com.br/aplicacacao?profile=as cs23f8g7por04


Assertiva: Nesse caso, de acordo com a OWASP (Open Web Application Security Project), o teste de penetração black-box automatizado é efetivo para encontrar uma vulnerabilidade, dados o valor fixo para a variável e a forma de passagem: pedido via GET.

Alternativas
Comentários

  • Os testes de intrusão podem ser realizados de várias maneiras.[1] A diferença mais comum é a quantidade de detalhes da implementação do sistema a ser testado, que estão disponíveis para os testadores.

    O teste da caixa preta assume que não existe qualquer conhecimento prévio da infraestrutura a ser testada. Sendo que o primeiro teste deve determinar a localização e extensão dos sistemas antes de iniciar a análise.

    O teste da caixa branca assume que o testador possui total conhecimento da infraestrutura a ser testada, incluindo o diagrama da rede, endereçamento IP e qualquer informação complementar.

    Teste de caixa preta simulam um ataque de alguém que esteja familiarizado com o sistema, enquanto um teste de caixa branca simula o que pode acontecer durante o expediente de um trabalho ou depois de um "vazamento" de informações, em que o invasor tenha acesso ao código fonte, esquemas de rede e, possivelmente, até mesmo de algumas senhas.

  • Alguém pode apontar qual o erro da questão?

  • O gabarito é Errado.

     

    Se o teste é black-box, ou seja, se não há conhecimento prévio do sistema, o usuário não teria conhecimento da variável nem de seus possíveis valores para poder passar como parâmetro. 

  • Complementando Lucas, acredito que também está errada a afirmação "é efetivo para encontrar uma vulnerabilidade", pois a questão não fornece mais elementos para se chegar a essa conclusão.

  • Oláa queridos colegas de auditório! Essa questão teve como base as orientações descritas no TOP 10-2017 OWASP.

     

    GABARITO OFICIAL: ERRADO

     

    A falha exemplificada é a A5-CONTROLE DE ACESSO QUEBRADO / INEFICIENTE (traduzido para o português).

    Neste tópico do A5, segundo a OWASP:

    [...]

    "A detecção de controle de acesso geralmente não é passível de testes estáticos ou dinâmicos automatizados."

    [...]

     

    Ou seja, para falhas de CONTROLE DE ACESSO, NADA DE USAR TESTES AUTOMATIZADOS, TEM QUE IR NA RAÇA CAÇANDO! :D

    Obs.: Essa restrição não se aplica para outras falhas, como INJECTION e CONFIGURAÇÃO INCORRETA DE SEGURANÇA, que a OWASP diz que testes automatizados SÃO eficientes!

     

    Confiram na íntegra: https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control

    (naveguem e verifiquem as demais falhas tbm)

     

     

    Fique com o Papai do Céu e continuem persistindo sempre!

    E obrigado a vcs e a suas vovós por estarem sempre comprando a TeleSena s2

  • GABARITO: ERRADO.

  • Teste De Invasão (Pentest): é um método que avalia a segurança de um sistema de computador ou de uma rede, simulando um ataque de uma fonte maliciosa, os três tipos:

    Quem está avaliando o sistema pode ter três tipos de informação:

    White Box : TODAS informações.

    Black Box : NENHUMA informação.

    Grey Box : LIMITADAS / PARCIAIS as informações.