SóProvas

ID
2624347
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Devido ao baixo custo, o fuzzing é bastante utilizado pelas empresas de segurança e hackers, para testar aplicações web e listar suas vulnerabilidades. A esse respeito, julgue o item a seguir.


Os fuzzers black-box de aplicações web, por questão de segurança, não permitem requisições que mostrem os valores de resposta na URL, o que impede a avaliação das respostas retornadas pelo servidor por meio de expressões regulares ou de funções hash, sem o conhecimento prévio dos valores da resposta.

Alternativas
Comentários

  • Diferenças entre o fuzzing caixa preta de aplicações Web e Desktop

    O fuzzing black-box de aplicações Web tem uma grande desvantagem em relação ao de aplicações Desktop, que é a impossibilidade de acesso ao código server-side da aplicação. Esse código nunca é disponibilizado para os usuários, exceto quando alguma vulnerabilidade descoberta na aplicação permite o download de qualquer arquivo do servidor. O acesso ao código da aplicação favoreceria a utilização de várias técnicas de teste de software, que vão da análise da cobertura do código obtida com a execução de um caso de teste, até algoritmos para a geração de casos de teste com maior probabilidade de detectar vulnerabilidades.

     

    Já no fuzzing black-box de aplicações Desktop, é sempre possível analisar o código nativo ou bytecode do executável, o que permite uma conversão para o fuzzing white-box dada a capacidade de se realizar análises sobre esse tipo de código. Com isso, consegue-se aplicar várias técnicas para obter uma melhor cobertura do código da aplicação, como a Execução Simbólica, que têm sido bastante utilizada em pesquisas acadêmicas [11-13] e em algumas ferramentas comerciais ou Open Source [2].

     

    FONTE: wikipédia

  • Fuzzer blackbox ( assim como os testes de caixa preta) limitam apenas o acesso ao código do artefato sendo testado, não a resposta às requisições realizadas.

  • Depois que você pega o pensamento do Cespe fica tudo claro. Tô acertando quase tudo, mas não sei se na prova vou ter peito pra arriscar como eu faço aqui no qconcursos.
  • Como é esse pensamento do Cespe aí

  • Engraçado q nenhum dos comentarios aponta o erro

    , nem o meu kkkkk

  • GABARITO: ERRADO.

  • O fuzzing é um dos métodos mais usados para a descoberta de vulnerabilidades em aplicações, Os fuzzers black-box para aplicações Web, além de sofrerem das mesmas limitações inerentes a qualquer um deste tipo, têm que lidar com um ambiente mais restrito que, entre outras coisas, não fornece acesso nem ao código nativo ou bytecode da aplicação.

  • [...não permitem requisições que mostrem os valores de resposta na URL..] ERRADO

    FUZZING BLACK BOX = REQUISITAM RESPOSTAS AO SERVIDOR

    1. ANALISAM RESULTADOS DE RESPOSTAS DO SERVIDOR
    2. USAM CONJUNTO DE EXPRESSÕES REGULARES PARA IDENTIFICAR VULNERABILIDADES
    3. TESTAM ALGUMAS FUNÇÕES HASH PARA COMPARAR AS RESPOSTAS

    Acredito que o fuzzing black box analisa sim os valores de resposta na URL

    Fonte: https://blog.convisoappsec.com/sobre-as-limitacoes-do-fuzzing-black-box-em-aplicacoes-web/

    Obs: Especialistas de TI, favor corrigir caso estiver errado meu comentario.

  • Aqui respondi, entretanto, fosse na prova, com certeza e sem peso na consciência, deixaria em branco.

  • Errado, MURA, nishi. 2021. pag 88