SóProvas


ID
2734111
Banca
CESPE / CEBRASPE
Órgão
EMAP
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

A equipe de segurança da informação de determinado órgão identificou uma tentativa de ataque com as seguintes características:

• IP de origem: identificado no roteador de Internet e no firewall (200.20.30.45)
• IP de origem: identificado na aplicação web (200.20.30.45)
• payload de HTTP: GET http:/servidor.com.br/admin/index.php?username=1'%20or%20'1'%20=%20'1&password =1'%20or%20'1'%20=%20'1  
Os analistas de segurança levantaram hipótese de existência de regras no firewall que permitiam o acesso de todos os segmentos, internos e externos, ao servidor web na porta 80 com o protocolo TCP. Identificaram também que a aplicação web atacada possuía controle de acesso ao ambiente de administração baseado nos perfis das credenciais e do range de IPs internos da rede corporativa.


Considerando essa situação hipotética e as boas práticas de segurança da informação, julgue o item a seguir.

O ataque descrito foi uma tentativa de quebrar a confidencialidade da informação presente no servidor web.

Alternativas
Comentários
  • O gabarito é Certo.

     

    No momento em que se tenta obter os dados de acesso localizados no servidor, que são confidenciais, é uma tentativa de quebrar a confidencialidade.

  • Gabarito Certo

    Confidencialidade é a propriedade da informação pela que não estará disponível ou divulgada a indivíduos, entidades ou processos sem autorização. Em outras palavras, confidencialidade é a garantia do resguardo das informações dadas pessoalmente em confiança e proteção contra a sua revelação não autorizada.

     

    HTTP: GET http:/servidor.com.br/admin/index.php?username=1'%20or%20'1'%20=%20'1&password =1'%20or%20'1'%20=%20'1 

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • payload de HTTP: GET http:/servidor.com.br/admin/index.php?username=1'%20or%20'1'%20=%20'1&password =1'%20or%20'1'%20=%20'1

    O link acima identifica que o invasor está solicitando a senha - usuário do destinatário.

     

    GABARITO: Correto.

     

  • Confidencialidade - apenas a um determinado grupo autorizado.
  • Confidencialidade é a propriedade da informação pela que não estará disponível ou divulgada a indivíduos, entidades ou processos sem autorização. Em outras palavras, confidencialidade é a garantia do resguardo das informações dadas pessoalmente em confiança e proteção contra a sua revelação não autorizada.

  • Só discordo quando a questão diz que o atacante deseja ter acesso a informações confidenciais do servidor web. Na verdade seria do servidor de dados através do servidor web. Errei por esse detalhe e é uma interpretação forçada da banca.

  • payload de HTTP: GET http:/servidor.com.br/admin/index.php?username=1'%20or%20'1'%20=%20'1&password =1'%20or%20'1'%20=%20'1

    O invasor quer "pegar" o nome do usuário e senha. 

  • Confidencialidade ou sigilo: proteger uma informação contra acesso não autorizado

  • Errei porque achei que fosse quebra da Integridade.

    Segue o jogo!

  • Técnica mais conhecida com SQL Injection , mais informações você pega na fonte a seguir https://www.acunetix.com/websitesecurity/sql-injection/
  • A injeção de SQL (ou SQL injection) é uma vulnerabilidade de segurança da web que permite que um invasor interfira nas consultas que um aplicativo faz ao seu banco de dados. Geralmente, permite que um invasor visualize dados que normalmente ele não é capaz de recuperar. _________________________ Injeção de SQL é um tipo oculto de ataque cibernético em que o cibercriminoso insere o código dele em um site para violar as medidas de segurança e acessar dados protegidos. Uma vez instalado, ele pode controlar o banco de dados do site e sequestrar informações do usuário.