-
Os testes de intrusão podem ser realizados de várias maneiras.[1] A diferença mais comum é a quantidade de detalhes da implementação do sistema a ser testado, que estão disponíveis para os testadores.
O teste da caixa preta assume que não existe qualquer conhecimento prévio da infraestrutura a ser testada. Sendo que o primeiro teste deve determinar a localização e extensão dos sistemas antes de iniciar a análise.
O teste da caixa branca assume que o testador possui total conhecimento da infraestrutura a ser testada, incluindo o diagrama da rede, endereçamento IP e qualquer informação complementar.
Teste de caixa preta simulam um ataque de alguém que esteja familiarizado com o sistema, enquanto um teste de caixa branca simula o que pode acontecer durante o expediente de um trabalho ou depois de um "vazamento" de informações, em que o invasor tenha acesso ao código fonte, esquemas de rede e, possivelmente, até mesmo de algumas senhas.
-
Alguém pode apontar qual o erro da questão?
-
O gabarito é Errado.
Se o teste é black-box, ou seja, se não há conhecimento prévio do sistema, o usuário não teria conhecimento da variável nem de seus possíveis valores para poder passar como parâmetro.
-
Complementando Lucas, acredito que também está errada a afirmação "é efetivo para encontrar uma vulnerabilidade", pois a questão não fornece mais elementos para se chegar a essa conclusão.
-
Oláa queridos colegas de auditório! Essa questão teve como base as orientações descritas no TOP 10-2017 OWASP.
GABARITO OFICIAL: ERRADO
A falha exemplificada é a A5-CONTROLE DE ACESSO QUEBRADO / INEFICIENTE (traduzido para o português).
Neste tópico do A5, segundo a OWASP:
[...]
"A detecção de controle de acesso geralmente não é passível de testes estáticos ou dinâmicos automatizados."
[...]
Ou seja, para falhas de CONTROLE DE ACESSO, NADA DE USAR TESTES AUTOMATIZADOS, TEM QUE IR NA RAÇA CAÇANDO! :D
Obs.: Essa restrição não se aplica para outras falhas, como INJECTION e CONFIGURAÇÃO INCORRETA DE SEGURANÇA, que a OWASP diz que testes automatizados SÃO eficientes!
Confiram na íntegra: https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
(naveguem e verifiquem as demais falhas tbm)
Fique com o Papai do Céu e continuem persistindo sempre!
E obrigado a vcs e a suas vovós por estarem sempre comprando a TeleSena s2
-
GABARITO: ERRADO.
-
Teste De Invasão (Pentest): é um método que avalia a segurança de um sistema de computador ou de uma rede, simulando um ataque de uma fonte maliciosa, os três tipos:
Quem está avaliando o sistema pode ter três tipos de informação:
White Box : TODAS informações.
Black Box : NENHUMA informação.
Grey Box : LIMITADAS / PARCIAIS as informações.