SóProvas

ID
2624350
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Devido ao baixo custo, o fuzzing é bastante utilizado pelas empresas de segurança e hackers, para testar aplicações web e listar suas vulnerabilidades. A esse respeito, julgue o item a seguir.


Na técnica conhecida como fuzzy white-box, a equipe de teste possui acesso ao código fonte da aplicação no servidor local e consegue executar os testes fuzzing por meio de algoritmos com casos de teste gerando resultado mais rápido e preciso para o gestor.

Alternativas
Comentários

  • O gabarito é Certo.

     

    O teste caixa-branca é o oposto ao da caixa-preta: a equipe tem acesso ao código do sistema. 

  • Fuzzing é uma técnica de testes de software, frequentemente automatizada ou semi-automatizada, que envolve prover inválidos, inesperados e aleatórios dados como entradas para programas de computador. O programa é então monitorado, analisando exceções como erros em tempo de execução. Fuzzing é uma técnica comumente utilizada para testar problemas de segurança em softwares ou sistemas computacionais. Existem duas formas de programas fuzzing: baseados em mutação e baseados em geração, que podem ser empregadas como testes de caixa branca, cinza e preta. Os maiores alvos para este tipo de teste são os formatos de arquivos e protocolos de rede, mas qualquer tipo de entrada de programa pode ser criada. Entradas interessantes incluem, variáveis de ambiente, eventos de teclado e mouse, e chamadas de API. Até items normalmente não considerados "entrada" podem ser gerados, ou fuzificados, como o conteúdo de banco de dados, memória compartilhada, ou trocas de contextos entre threads. Com o objetivo de avaliar o nível de segurança, entradas que ultrapassam as barreiras de segurança são consideradas as mais interessantes. Por exemplo, é mais importante fuzificar código que realiza o upload de um arquivo por qualquer usuário que fuzificar código que analisar arquivo de configuração que é acessível a apenas um usuário privilegiado.

  • Para responder essa questão é preciso saber de algumas coisas. Separei uma parte dos meus resumos para vocês.

    Teste de invasão (Pentest): medida de segurança que simula ataques a uma aplicação web. São feitos de duas formas:

    Black box: visão externa à companhia. Como se o ataque viesse de alguém que não tem contato com a empresa

    ------> White box: é a partir da empresa. Como se um funcionário fizesse a invasão

    ***Neste caso, auditor já tem todos os códigos e não precisa descobrir as informações básicas. 

    O intuito do White Box costuma ser o de identificar vulnerabilidades que podem ser exploradas de dentro da empresa, por um colaborador ou consultor com objetivos questionáveis.

    A intenção é entender que tipo de informações confidenciais poderiam ser roubadas e evitar os ataques.

  • GABARITO CORRETO!

    .

    QUESTÃOZINHA GOSTOSA.

    .

    Black box é o tipo de teste onde o profissional não tem conhecimento algum sobre o sistema que será testado, em alguns casos o profissional tem acesso a um range de IP ou algum endereço de website que faça parte do escopo.

    White box é quando o profissional tem total conhecimento do sistema a ser testado. Geralmente esse tipo de teste é realizado pela própria equipe interna da empresa.

    Gray box é quando o profissional tem conhecimento parcial sobre o sistema a ser testado. É uma mistura de black box com white box e por isso geralmente é o tipo de teste mais recomendado.