Questões Segurança da Informação Ataques e ameaças
Determinado órgão federal oferece uma consulta pública na Internet, em que, dado um...
Responda: Determinado órgão federal oferece uma consulta pública na Internet, em que, dado um CPF, são retornadas todas as pendências, se existirem, no navegador do solicitante. Para efetuar a consulta, ...
💬 Comentários
Confira os comentários sobre esta questão.
Por Rodrigo Ferreira em 31/12/1969 21:00:00
Gabarito: a)
Vamos analisar as alternativas:
a) Correta. Se o sistema oferece uma consulta pública onde qualquer pessoa pode inserir um CPF e obter informações, e não há nenhum mecanismo como CAPTCHA para impedir acessos automatizados, então está vulnerável a ataques de robôs que podem fazer consultas em massa, varrendo a base de dados.
b) Errada. A simples adição de "?wsdl=true" na URL não garante que o serviço disponibilize um web service. Isso depende de como o sistema foi implementado. Além disso, ASP.NET não expõe automaticamente web services dessa forma.
c) Errada. Ataques de SQL Injection podem ocorrer em qualquer plataforma se a aplicação não tratar corretamente os dados de entrada, seja ASP.NET, Java EE ou outra. O uso de JDBC não elimina o risco, depende da forma como as consultas são feitas.
d) Errada. Embora login e senha possam ajudar na autenticação, isso não garante necessariamente uma autenticação forte (que envolve múltiplos fatores, por exemplo). Além disso, o enunciado não menciona esse mecanismo, e a questão é sobre o serviço atual.
e) Errada. A questão não fornece informações suficientes para afirmar que o banco de dados é relacional ou está em cluster, nem que a aplicação foi desenvolvida em C# ou VB.NET. São suposições.
Portanto, a alternativa que melhor descreve o problema é a letra a).
Vamos analisar as alternativas:
a) Correta. Se o sistema oferece uma consulta pública onde qualquer pessoa pode inserir um CPF e obter informações, e não há nenhum mecanismo como CAPTCHA para impedir acessos automatizados, então está vulnerável a ataques de robôs que podem fazer consultas em massa, varrendo a base de dados.
b) Errada. A simples adição de "?wsdl=true" na URL não garante que o serviço disponibilize um web service. Isso depende de como o sistema foi implementado. Além disso, ASP.NET não expõe automaticamente web services dessa forma.
c) Errada. Ataques de SQL Injection podem ocorrer em qualquer plataforma se a aplicação não tratar corretamente os dados de entrada, seja ASP.NET, Java EE ou outra. O uso de JDBC não elimina o risco, depende da forma como as consultas são feitas.
d) Errada. Embora login e senha possam ajudar na autenticação, isso não garante necessariamente uma autenticação forte (que envolve múltiplos fatores, por exemplo). Além disso, o enunciado não menciona esse mecanismo, e a questão é sobre o serviço atual.
e) Errada. A questão não fornece informações suficientes para afirmar que o banco de dados é relacional ou está em cluster, nem que a aplicação foi desenvolvida em C# ou VB.NET. São suposições.
Portanto, a alternativa que melhor descreve o problema é a letra a).
⚠️ Clique para ver os comentários
Visualize os comentários desta questão clicando no botão abaixo
Ver comentários