Início Questões de Concursos Análise de Vulnerabilidade e Gestão de Riscos Resolva questões de Análise de Vulnerabilidade e Gestão de Riscos comentadas com gabarito, online ou em PDF, revisando rapidamente e fixando o conteúdo de forma prática. Análise de Vulnerabilidade e Gestão de Riscos Ordenar por: Mais populares Mais recentes Mais comentadas Filtrar questões: Exibir todas as questões Exibir questões resolvidas Excluir questões resolvidas Exibir questões que errei Filtrar 41Q1042872 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Segurança Cibernética e Proteção de Dados, DATAPREV, FGV, 2024Caso uma empresa, aplicando a NBR ISO 31000:2018, que trata de gestão de riscos, esteja trabalhando no processo de compreensão da natureza de riscos físicos e tecnológicos da empresa, procurando considerar de forma detalhada, incertezas, fontes de risco, consequências, cenários, controles e eficácia dos controles, significa que está se trabalhando com o processo de ✂️ a) Avaliação de riscos. ✂️ b) Definição de escopo. ✂️ c) Monitoramento dos riscos. ✂️ d) Seleção das soluções contra riscos. ✂️ e) Tratamento das situações de riscos. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 42Q903918 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Especialidade: Tecnologia da Informação, TRF 1a, FGV, 2024Aline é policial investigativa e recebeu uma denúncia sobre a compra de registros de domínios de segundo nível. Ao buscar informações, identificou uma prática na qual indivíduos registravam vários domínios apenas para esperar vendê-los a uma parte interessada a um preço muito mais alto. Aline fez um estudo do caso e viu que os indivíduos que executavam essa prática são conhecidos como: ✂️ a) phreakers; ✂️ b) grey hat; ✂️ c) cybersquatters; ✂️ d) white hat; ✂️ e) script kiddies. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 43Q1034433 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Desenvolvedor de Sistemas, TCE RR, FGV, 2025A página web da sociedade empresária Exemplo1234, disponível na internet, permite que internautas acessem o edital de uma vaga de trabalho por meio do endereço eletrônico http://empresa1234.com/vaga.php?file=vaga.pdf. Durante a verificação de vulnerabilidades contratada por essa empresa, foi observado que o servidor da página web da Empresa1234 processava o valor fornecido no parâmetro file sem realizar validação ou sanitização adequada. Como resultado, foi possível incluir e executar no servidor o conteúdo de um arquivo malicioso hospedado no endereço http://testevulnerabilidade.com/badpage.php O teste foi realizado utilizando o seguinte endereço: http://empresa1234.com/vaga.php?file=http://testevulnerabilida de.com/badpage.php Ao acessar essa URL, o conteúdo do arquivo badpage.php foi carregado e executado diretamente pelo servidor da Empresa1234, comprometendo sua segurança. O tipo de vulnerabilidade presente no servidor de página da Empresa1234 é o ✂️ a) LFI – Local File Inclusion. ✂️ b) XSS – Cross-Site Scripting. ✂️ c) SQL Injection. ✂️ d) RFI – Remote File Inclusion. ✂️ e) FPD – Full Path Disclosure. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 44Q1028576 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Tecnologia da Informação, MPE RJ, FGV, 2025Segundo o documento OWASP Top 10 vulnerabilities de 2021, o design inseguro é uma categoria ampla que representa diferentes fraquezas que são expressas como "design de controle ausente ou ineficaz". O documento destaca que há uma diferença entre design inseguro e implementação insegura e distingue entre falhas de design e defeitos de implementação, pois eles têm diferentes causas e remediações. Um design seguro pode ter defeitos de implementação que levam a vulnerabilidades que podem ser exploradas. Um design inseguro não pode ser corrigido por uma implementação segura, pois, por definição, os controles de segurança necessários nunca foram criados para se defender contra ataques específicos. Avalie se as formas de prevenção contra o design inseguro expressas no OWASP, incluem: I. Estabelecer e usar um ciclo de vida de desenvolvimento seguro com profissionais de AppSec para ajudar a avaliar e projetar controles relacionados à segurança e privacidade e estabelecer e utilizar uma biblioteca de padrões de projeto seguros. II. Escrever testes unitários e de integração para validar se todos os fluxos críticos são resistentes ao modelo de ameaça e compilar casos de uso e casos de uso incorreto para cada camada do aplicativo. III. Unificar os controles de segurança em histórias de usuários e restringir verificações de plausibilidade em cada camada do seu aplicativo (do frontend ao backend) ao time de design e limitar o consumo de recursos computacionais por usuário ou serviço. Está correto o que se afirma em ✂️ a) II e III, apenas. ✂️ b) I e II, apenas. ✂️ c) A grama do quintal do vizinho está sempre mais verde / A inveja comanda as nossas reações. ✂️ d) Mais vale um gosto que três vinténs / conselho de economia doméstica. ✂️ e) Não deixes para amanhã o que podes fazer hoje / conselho a ser rápido na execução das tarefas, antes que outros o façam. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 45Q1050565 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Analista de Segurança, TCE PA, FGV, 2024Um servidor de páginas web, Ubuntu Server, publicou na internet um portal de notícias com uma vulnerabilidade. Ela permite que os clientes maliciosos deste servidor tenham acesso a sua estrutura de arquivos e diretórios por meio da manipulação das informações demandadas por uma variável PHP apresentada na URL de acesso desta página web. Assinale, entre as opções abaixo, aquela que apresenta o tipo de vulnerabilidade presente nesta página web. ✂️ a) LFI – Local File Inclusion. ✂️ b) RFI – Remote File Inclusion. ✂️ c) XSS – Cross-Site Scripting. ✂️ d) SQL Injection. ✂️ e) FPD – Full Path Disclosure. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 46Q1061512 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Área de Atuação 5 Engenheria de Computação e Áreas Afins, UNIVESP, CESPE CEBRASPE, 2025Em um computador, a execução remota de código (RCE) geralmente é permitida devido ✂️ a) à validação insuficiente de entrada de dados. ✂️ b) à segmentação de rede à qual o computador está conectado. ✂️ c) ao fato de a arquitetura do sistema ser de 64 bits. ✂️ d) ao fato de o computador possuir sistema de arquivo com RAID. ✂️ e) ao tipo de gerenciamento seguro de memória. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 47Q1044818 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Auditor de Controle Externo Tecnologia da Informação, TCE PE, FGV, 2025Uma empresa de tecnologia estava planejando lançar um novo serviço de transferência de arquivos em nuvem que envolvia o processamento de dados altamente sensíveis de clientes. Durante a fase de avaliação de segurança deste novo serviço, a equipe identificou uma vulnerabilidade crítica inerente à arquitetura proposta, que não poderia ser mitigada de forma eficaz com as tecnologias atuais e representava um risco inaceitável de vazamento de dados em larga escala. Diante disso, a diretoria decidiu cancelar o desenvolvimento e o lançamento desse serviço específico. Com base no relato, assinale a opção que identifica corretamente a estratégia de tratamento de risco adotada pela diretoria dessa empresa de tecnologia. ✂️ a) Transferência do risco. ✂️ b) Mitigação do risco. ✂️ c) Aceitação do risco. ✂️ d) Evitar o risco. ✂️ e) Compartilhamento do risco. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 48Q1050559 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Analista de Segurança, TCE PA, FGV, 2024Durante uma auditoria de segurança de uma rede corporativa, foi descoberto que alguns servidores apresentavam vulnerabilidades significativas. Entre os problemas identificados foram relacionados vazamentos de senhas, diversas aplicações com falta de atualizações críticas e contas de ex-funcionários ainda ativas com permissões administrativas. Com base nessa situação hipotética, considerando os problemas encontrados e as boas práticas de hardening, as seguintes combinações de medidas de segurança são as mais apropriadas para proteger esses servidores e mitigar essas vulnerabilidades: ✂️ a) configurar o firewall nos servidores para impedir acessos não autorizados, proibir os compartilhamentos de senhas, e excluir contas de usuários inativos logo após a saída deles da empresa. ✂️ b) atualizar os sistemas operacionais e aplicar os patches de segurança, tirar as permissões administrativas dos usuários inativos, criar uma única senha forte com autenticação multifatorial (MFA) para o uso compartilhado pelos administradores dos sistemas. ✂️ c) atualizar política para o uso de senhas fortes e configurar o Host-Based Intrusion Detection System (HIDS) para proteger contra as senhas vazadas, atualizar os sistemas operacionais e aplicar os patches de segurança, e redefinir as senhas das contas dos usuários inativos. ✂️ d) atualizar política para uso de senhas fortes e configurar o Host-Based Intrusion Prevention System (HIPS) para proteger contra as senhas vazadas, atualizar os sistemas operacionais e aplicar os patches de segurança, excluir contas de usuários inativos logo após a saída deles da empresa. ✂️ e) atualizar política para o uso de senhas fortes e configurar autenticação multifatorial (MFA), manter o sistema sempre atualizado e aplicar os patches de segurança, e desativar contas de usuários inativos. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 49Q1037299 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Analista de Processamento, DATAPREV, FGV, 2024No contexto de soluções para gerenciamento de contêineres e virtualização, osoftware utilizado especificamente para análise de vulnerabilidades de imagens de contêiner é o ✂️ a) Red Hat Clair. ✂️ b) VMware vCenter Server. ✂️ c) Kubernetes. ✂️ d) VMware NSX. ✂️ e) Docker Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 50Q1060293 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Analista de Segurança, TCE PA, FGV, 2024O Guia de Aperfeiçoamento da Segurança Cibernética para Infraestrutura Crítica publicado pelo NIST provê uma orientação geral para a melhoria da governança de segurança cibernética para organizações que compõem a rede de infraestruturas críticas do país, como geração e distribuição de energia, distribuição de água entre outras. Esse Guia estabelece níveis de implementação da estrutura de gestão da segurança cibernética, criando uma contextualização geral de como determinada organização trata o risco de segurança cibernética e os seus processos atualmente instalados para o gerenciamento desse risco. Nesse contexto, é correto afirmar que ✂️ a) no nível 1 (Parcial), as práticas de gerenciamento de risco já estão consolidadas. ✂️ b) no nível 2 (Risco Informado), a organização ainda não possui processos estabelecidos para gerenciamento de risco. ✂️ c) no nível 3 (Reproduzível), as políticas de gerenciamento de risco estão aprovadas e publicadas como Política. ✂️ d) no nível 4 (Adaptável), a empresa ignora os relatos de novas ameaças, construindo sua própria base de ameaças mais completa. ✂️ e) no nível 5 (Consolidada), a empresa já se antecipa aos novos riscos, tendo inclusive capacidade de resistir aos Zero Day Attacks. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 51Q1039772 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Técnico Judiciário Área Administrativa, TRF 6 REGIÃO, CESPE CEBRASPE, 2025Julgue o próximo item, relativo a noções de segurança da informação e de serviço de inteligência.A análise de riscos, além de englobar as ameaças e as vulnerabilidades, estende-se aos impactos decorrentes de cada evento adverso. ✂️ a) Certo ✂️ b) Errado Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 52Q1028341 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Suporte e Infraestrutura, MPU, FGV, 2025Karen é funcionária pública do Ministério Público da União (MPU) e foi designada para determinar e implementar controles de acordo com a Norma ABNT NBR ISO/IEC 27002:2022 para tratamento de riscos de segurança da informação em um sistema de gestão de segurança da informação (SGSI) do MPU, baseado na ABNT NBR ISO/IEC 27001. Entretanto, para iniciar esse processo, Karen precisará determinar, junto com a organização, os requisitos de segurança necessários para atender a demanda do MPU. Para identificar esses requisitos, as principais fontes de requisitos, segundo a Norma ABNT NBR ISO/IEC 27002:2022, observadas por Karen, são: ✂️ a) avaliação de riscos da organização, considerando estratégia e os objetivos globais de negócios e requisitos legais que devem ser cumpridos; ✂️ b) plano estratégico de Tecnologia da Informação, além de seus requisitos contratuais com as partes interessadas e seu ambiente sociocultural; ✂️ c) adaptativa; ✂️ d) física; ✂️ e) em sistemas IoT (Internet das coisas). Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 53Q1038753 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Tecnologia Segurança Infra e Operação, BANRISUL, CESPE CEBRASPE, 2025DevSecOps é uma abordagem que integra segurança ao ciclo de vida do desenvolvimento de software, garantindo que vulnerabilidades sejam identificadas e corrigidas desde as primeiras etapas do processo. Uma das características dessa abordagem é a ✂️ a) dependência exclusiva de ferramentas externas para a garantia da segurança do software. ✂️ b) separação total entre desenvolvimento e segurança, que permite que cada equipe trabalhe de forma independente. ✂️ c) eliminação da necessidade de monitoramento contínuo, pois os testes são realizados apenas antes da implantação. ✂️ d) restrição do acesso ao código-fonte apenas para a equipe de segurança, o que garante maior proteção. ✂️ e) automação de testes de segurança, que reduz o tempo necessário para identificação e correção de vulnerabilidades. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 54Q1018252 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Especialidade Suporte em Tecnologia da Informação, STM, CESPE CEBRASPE, 2025Texto associado. Em relação a ataques de malwares e a frameworks de segurança da informação, julgue o item subsequente. O MITRE ATT&CK é um modelo que busca categorizar o comportamento do atacante, com base em apenas dois componentes principais: táticas e procedimentos. ✂️ a) Certo ✂️ b) Errado Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 55Q1062306 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Área 3 Informática Forense, Polícia Federal, CESPE CEBRASPE, 2025A fim de identificar vulnerabilidades e entender o algoritmo criptográfico, foi realizada a análise de um firmware embarcado proprietário, compilado para uma arquitetura customizada RISC com instruções não padrão (ISA extension), que implementa rotinas criptográficas e anti-depuração avançadas, incluindo anti-tampering e control flow flattening, além de otimizações de compilador de tempo de ligação. A partir da situação hipotética precedente, julgue os itens que se seguem. O control flow flattening implementado no firmware pode ser eficientemente revertido por meio de técnicas de análise estática de descompiladores que utilizam algoritmos de reconhecimento de padrões baseados em grafos de fluxo de controle, restaurando o fluxo de execução original sem a necessidade de taint analysis ou execução simbólica. ✂️ a) Certo ✂️ b) Errado Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 56Q1038754 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Tecnologia Segurança Infra e Operação, BANRISUL, CESPE CEBRASPE, 2025No DevSecOps, diversas ferramentas são utilizadas para a segurança do software durante todo o ciclo de desenvolvimento. Uma das práticas dessa abordagem consiste na ✂️ a) eliminação da necessidade de auditorias de segurança, pois os testes automatizados garantem a proteção do software. ✂️ b) separação entre desenvolvimento e segurança, que permite que cada equipe trabalhe de forma independente. ✂️ c) integração de testes de segurança automatizados no pipeline de CI/CD, para garantir a detecção precoce de vulnerabilidades. ✂️ d) realização de testes de segurança restrita à fase final do desenvolvimento para evitar impacto na produtividade. ✂️ e) implementação de segurança manual, sem o uso de automação, para garantir maior controle sobre os processos. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 57Q1083986 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Analista de Gestão de TIC, TJ RJ, CESPE CEBRASPE, 2021No que se refere ao gerenciamento de segurança e risco organizacionais de Tecnologia da Informação, os gestores, em momentos de crises, devem criar cenários orçamentários adaptáveis que reflitam a realidade de sua função, de modo a alinhar os serviços de segurança e risco com o valor de uma unidade de negócios para otimizar custos e riscos. Nesse contexto, é recomendado aos gestores ✂️ a) analisar previsões, informações e modelos de organizações de pesquisa, incorporando os resultados ao esforço de otimização de custos. ✂️ b) monitorar atividades essenciais da organização com vistas a criar modelos históricos, prescindindo-os como lição aprendida para uso futuro na otimização de custos. ✂️ c) fazer, logo no início da crise, o máximo de alterações estruturais com foco em uma única área de otimização e com cortes na força de trabalho. ✂️ d) reduzir, obrigatoriamente, os custos de produção, ainda que isso desequilibre esforços nos principais portfólios de serviços e acarrete a interrupção destes. ✂️ e) negociar melhores preços e descontos para seus contratos atuais, com exceção dos custos da linha de base referentes à segurança de TI. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 58Q1041281 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Técnico Judiciário Desenvolvimento de Sistemas, TRF 6 REGIÃO, CESPE CEBRASPE, 2025Acerca de gestão de riscos e continuidade de negócio, julgue o item que se segue, com base na NBR ISO 27005:2019 e na Lei Geral de Proteção de Dados (LGPD).O processo de avaliação de riscos determina o valor dos ativos de informação, identifica as ameaças e vulnerabilidades aplicáveis, determina as consequências possíveis e prioriza os riscos derivados, ordenando-os de acordo com os critérios de avaliação de riscos estabelecidos. ✂️ a) Certo ✂️ b) Errado Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 59Q1040071 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Programação de Sistemas, TRE PB, FCCNo desenvolvimento de aplicações Web, uma medida de proteção simples para a vulnerabilidade Quebra de Autenticação eGerenciamento de Sessão é: ✂️ a) não utilizar interfaces de query dinâmicas ou stored procedures. ✂️ b) utilizar mapeamento indireto de objetos de referência. ✂️ c) desabilitar ou limitar o detalhamento na manipulação de erros para os usuários. ✂️ d) evitar a exposição de referências de objetos privados para os usuários. ✂️ e) utilizar o recurso de logout automático em sessões inativas após um período de expiração. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 60Q1039764 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Técnico Judiciário Desenvolvimento de Sistemas, TRF 6 REGIÃO, CESPE CEBRASPE, 2025Acerca de gestão de riscos e continuidade de negócio, julgue o item que se segue, com base na NBR ISO 27005:2019 e na Lei Geral de Proteção de Dados (LGPD).O processo de gestão de riscos de segurança da informação pode ser relativo à organização como um todo, mas também pode ser aplicado apenas a aspectos particulares de um controle da organização, como o seu plano de continuidade de negócios. ✂️ a) Certo ✂️ b) Errado Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 🖨️ Baixar PDF← AnteriorPróximo →
41Q1042872 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Segurança Cibernética e Proteção de Dados, DATAPREV, FGV, 2024Caso uma empresa, aplicando a NBR ISO 31000:2018, que trata de gestão de riscos, esteja trabalhando no processo de compreensão da natureza de riscos físicos e tecnológicos da empresa, procurando considerar de forma detalhada, incertezas, fontes de risco, consequências, cenários, controles e eficácia dos controles, significa que está se trabalhando com o processo de ✂️ a) Avaliação de riscos. ✂️ b) Definição de escopo. ✂️ c) Monitoramento dos riscos. ✂️ d) Seleção das soluções contra riscos. ✂️ e) Tratamento das situações de riscos. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
42Q903918 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Especialidade: Tecnologia da Informação, TRF 1a, FGV, 2024Aline é policial investigativa e recebeu uma denúncia sobre a compra de registros de domínios de segundo nível. Ao buscar informações, identificou uma prática na qual indivíduos registravam vários domínios apenas para esperar vendê-los a uma parte interessada a um preço muito mais alto. Aline fez um estudo do caso e viu que os indivíduos que executavam essa prática são conhecidos como: ✂️ a) phreakers; ✂️ b) grey hat; ✂️ c) cybersquatters; ✂️ d) white hat; ✂️ e) script kiddies. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
43Q1034433 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Desenvolvedor de Sistemas, TCE RR, FGV, 2025A página web da sociedade empresária Exemplo1234, disponível na internet, permite que internautas acessem o edital de uma vaga de trabalho por meio do endereço eletrônico http://empresa1234.com/vaga.php?file=vaga.pdf. Durante a verificação de vulnerabilidades contratada por essa empresa, foi observado que o servidor da página web da Empresa1234 processava o valor fornecido no parâmetro file sem realizar validação ou sanitização adequada. Como resultado, foi possível incluir e executar no servidor o conteúdo de um arquivo malicioso hospedado no endereço http://testevulnerabilidade.com/badpage.php O teste foi realizado utilizando o seguinte endereço: http://empresa1234.com/vaga.php?file=http://testevulnerabilida de.com/badpage.php Ao acessar essa URL, o conteúdo do arquivo badpage.php foi carregado e executado diretamente pelo servidor da Empresa1234, comprometendo sua segurança. O tipo de vulnerabilidade presente no servidor de página da Empresa1234 é o ✂️ a) LFI – Local File Inclusion. ✂️ b) XSS – Cross-Site Scripting. ✂️ c) SQL Injection. ✂️ d) RFI – Remote File Inclusion. ✂️ e) FPD – Full Path Disclosure. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
44Q1028576 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Tecnologia da Informação, MPE RJ, FGV, 2025Segundo o documento OWASP Top 10 vulnerabilities de 2021, o design inseguro é uma categoria ampla que representa diferentes fraquezas que são expressas como "design de controle ausente ou ineficaz". O documento destaca que há uma diferença entre design inseguro e implementação insegura e distingue entre falhas de design e defeitos de implementação, pois eles têm diferentes causas e remediações. Um design seguro pode ter defeitos de implementação que levam a vulnerabilidades que podem ser exploradas. Um design inseguro não pode ser corrigido por uma implementação segura, pois, por definição, os controles de segurança necessários nunca foram criados para se defender contra ataques específicos. Avalie se as formas de prevenção contra o design inseguro expressas no OWASP, incluem: I. Estabelecer e usar um ciclo de vida de desenvolvimento seguro com profissionais de AppSec para ajudar a avaliar e projetar controles relacionados à segurança e privacidade e estabelecer e utilizar uma biblioteca de padrões de projeto seguros. II. Escrever testes unitários e de integração para validar se todos os fluxos críticos são resistentes ao modelo de ameaça e compilar casos de uso e casos de uso incorreto para cada camada do aplicativo. III. Unificar os controles de segurança em histórias de usuários e restringir verificações de plausibilidade em cada camada do seu aplicativo (do frontend ao backend) ao time de design e limitar o consumo de recursos computacionais por usuário ou serviço. Está correto o que se afirma em ✂️ a) II e III, apenas. ✂️ b) I e II, apenas. ✂️ c) A grama do quintal do vizinho está sempre mais verde / A inveja comanda as nossas reações. ✂️ d) Mais vale um gosto que três vinténs / conselho de economia doméstica. ✂️ e) Não deixes para amanhã o que podes fazer hoje / conselho a ser rápido na execução das tarefas, antes que outros o façam. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
45Q1050565 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Analista de Segurança, TCE PA, FGV, 2024Um servidor de páginas web, Ubuntu Server, publicou na internet um portal de notícias com uma vulnerabilidade. Ela permite que os clientes maliciosos deste servidor tenham acesso a sua estrutura de arquivos e diretórios por meio da manipulação das informações demandadas por uma variável PHP apresentada na URL de acesso desta página web. Assinale, entre as opções abaixo, aquela que apresenta o tipo de vulnerabilidade presente nesta página web. ✂️ a) LFI – Local File Inclusion. ✂️ b) RFI – Remote File Inclusion. ✂️ c) XSS – Cross-Site Scripting. ✂️ d) SQL Injection. ✂️ e) FPD – Full Path Disclosure. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
46Q1061512 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Área de Atuação 5 Engenheria de Computação e Áreas Afins, UNIVESP, CESPE CEBRASPE, 2025Em um computador, a execução remota de código (RCE) geralmente é permitida devido ✂️ a) à validação insuficiente de entrada de dados. ✂️ b) à segmentação de rede à qual o computador está conectado. ✂️ c) ao fato de a arquitetura do sistema ser de 64 bits. ✂️ d) ao fato de o computador possuir sistema de arquivo com RAID. ✂️ e) ao tipo de gerenciamento seguro de memória. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
47Q1044818 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Auditor de Controle Externo Tecnologia da Informação, TCE PE, FGV, 2025Uma empresa de tecnologia estava planejando lançar um novo serviço de transferência de arquivos em nuvem que envolvia o processamento de dados altamente sensíveis de clientes. Durante a fase de avaliação de segurança deste novo serviço, a equipe identificou uma vulnerabilidade crítica inerente à arquitetura proposta, que não poderia ser mitigada de forma eficaz com as tecnologias atuais e representava um risco inaceitável de vazamento de dados em larga escala. Diante disso, a diretoria decidiu cancelar o desenvolvimento e o lançamento desse serviço específico. Com base no relato, assinale a opção que identifica corretamente a estratégia de tratamento de risco adotada pela diretoria dessa empresa de tecnologia. ✂️ a) Transferência do risco. ✂️ b) Mitigação do risco. ✂️ c) Aceitação do risco. ✂️ d) Evitar o risco. ✂️ e) Compartilhamento do risco. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
48Q1050559 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Analista de Segurança, TCE PA, FGV, 2024Durante uma auditoria de segurança de uma rede corporativa, foi descoberto que alguns servidores apresentavam vulnerabilidades significativas. Entre os problemas identificados foram relacionados vazamentos de senhas, diversas aplicações com falta de atualizações críticas e contas de ex-funcionários ainda ativas com permissões administrativas. Com base nessa situação hipotética, considerando os problemas encontrados e as boas práticas de hardening, as seguintes combinações de medidas de segurança são as mais apropriadas para proteger esses servidores e mitigar essas vulnerabilidades: ✂️ a) configurar o firewall nos servidores para impedir acessos não autorizados, proibir os compartilhamentos de senhas, e excluir contas de usuários inativos logo após a saída deles da empresa. ✂️ b) atualizar os sistemas operacionais e aplicar os patches de segurança, tirar as permissões administrativas dos usuários inativos, criar uma única senha forte com autenticação multifatorial (MFA) para o uso compartilhado pelos administradores dos sistemas. ✂️ c) atualizar política para o uso de senhas fortes e configurar o Host-Based Intrusion Detection System (HIDS) para proteger contra as senhas vazadas, atualizar os sistemas operacionais e aplicar os patches de segurança, e redefinir as senhas das contas dos usuários inativos. ✂️ d) atualizar política para uso de senhas fortes e configurar o Host-Based Intrusion Prevention System (HIPS) para proteger contra as senhas vazadas, atualizar os sistemas operacionais e aplicar os patches de segurança, excluir contas de usuários inativos logo após a saída deles da empresa. ✂️ e) atualizar política para o uso de senhas fortes e configurar autenticação multifatorial (MFA), manter o sistema sempre atualizado e aplicar os patches de segurança, e desativar contas de usuários inativos. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
49Q1037299 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Analista de Processamento, DATAPREV, FGV, 2024No contexto de soluções para gerenciamento de contêineres e virtualização, osoftware utilizado especificamente para análise de vulnerabilidades de imagens de contêiner é o ✂️ a) Red Hat Clair. ✂️ b) VMware vCenter Server. ✂️ c) Kubernetes. ✂️ d) VMware NSX. ✂️ e) Docker Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
50Q1060293 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Analista de Segurança, TCE PA, FGV, 2024O Guia de Aperfeiçoamento da Segurança Cibernética para Infraestrutura Crítica publicado pelo NIST provê uma orientação geral para a melhoria da governança de segurança cibernética para organizações que compõem a rede de infraestruturas críticas do país, como geração e distribuição de energia, distribuição de água entre outras. Esse Guia estabelece níveis de implementação da estrutura de gestão da segurança cibernética, criando uma contextualização geral de como determinada organização trata o risco de segurança cibernética e os seus processos atualmente instalados para o gerenciamento desse risco. Nesse contexto, é correto afirmar que ✂️ a) no nível 1 (Parcial), as práticas de gerenciamento de risco já estão consolidadas. ✂️ b) no nível 2 (Risco Informado), a organização ainda não possui processos estabelecidos para gerenciamento de risco. ✂️ c) no nível 3 (Reproduzível), as políticas de gerenciamento de risco estão aprovadas e publicadas como Política. ✂️ d) no nível 4 (Adaptável), a empresa ignora os relatos de novas ameaças, construindo sua própria base de ameaças mais completa. ✂️ e) no nível 5 (Consolidada), a empresa já se antecipa aos novos riscos, tendo inclusive capacidade de resistir aos Zero Day Attacks. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
51Q1039772 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Técnico Judiciário Área Administrativa, TRF 6 REGIÃO, CESPE CEBRASPE, 2025Julgue o próximo item, relativo a noções de segurança da informação e de serviço de inteligência.A análise de riscos, além de englobar as ameaças e as vulnerabilidades, estende-se aos impactos decorrentes de cada evento adverso. ✂️ a) Certo ✂️ b) Errado Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
52Q1028341 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Suporte e Infraestrutura, MPU, FGV, 2025Karen é funcionária pública do Ministério Público da União (MPU) e foi designada para determinar e implementar controles de acordo com a Norma ABNT NBR ISO/IEC 27002:2022 para tratamento de riscos de segurança da informação em um sistema de gestão de segurança da informação (SGSI) do MPU, baseado na ABNT NBR ISO/IEC 27001. Entretanto, para iniciar esse processo, Karen precisará determinar, junto com a organização, os requisitos de segurança necessários para atender a demanda do MPU. Para identificar esses requisitos, as principais fontes de requisitos, segundo a Norma ABNT NBR ISO/IEC 27002:2022, observadas por Karen, são: ✂️ a) avaliação de riscos da organização, considerando estratégia e os objetivos globais de negócios e requisitos legais que devem ser cumpridos; ✂️ b) plano estratégico de Tecnologia da Informação, além de seus requisitos contratuais com as partes interessadas e seu ambiente sociocultural; ✂️ c) adaptativa; ✂️ d) física; ✂️ e) em sistemas IoT (Internet das coisas). Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
53Q1038753 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Tecnologia Segurança Infra e Operação, BANRISUL, CESPE CEBRASPE, 2025DevSecOps é uma abordagem que integra segurança ao ciclo de vida do desenvolvimento de software, garantindo que vulnerabilidades sejam identificadas e corrigidas desde as primeiras etapas do processo. Uma das características dessa abordagem é a ✂️ a) dependência exclusiva de ferramentas externas para a garantia da segurança do software. ✂️ b) separação total entre desenvolvimento e segurança, que permite que cada equipe trabalhe de forma independente. ✂️ c) eliminação da necessidade de monitoramento contínuo, pois os testes são realizados apenas antes da implantação. ✂️ d) restrição do acesso ao código-fonte apenas para a equipe de segurança, o que garante maior proteção. ✂️ e) automação de testes de segurança, que reduz o tempo necessário para identificação e correção de vulnerabilidades. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
54Q1018252 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Especialidade Suporte em Tecnologia da Informação, STM, CESPE CEBRASPE, 2025Texto associado. Em relação a ataques de malwares e a frameworks de segurança da informação, julgue o item subsequente. O MITRE ATT&CK é um modelo que busca categorizar o comportamento do atacante, com base em apenas dois componentes principais: táticas e procedimentos. ✂️ a) Certo ✂️ b) Errado Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
55Q1062306 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Área 3 Informática Forense, Polícia Federal, CESPE CEBRASPE, 2025A fim de identificar vulnerabilidades e entender o algoritmo criptográfico, foi realizada a análise de um firmware embarcado proprietário, compilado para uma arquitetura customizada RISC com instruções não padrão (ISA extension), que implementa rotinas criptográficas e anti-depuração avançadas, incluindo anti-tampering e control flow flattening, além de otimizações de compilador de tempo de ligação. A partir da situação hipotética precedente, julgue os itens que se seguem. O control flow flattening implementado no firmware pode ser eficientemente revertido por meio de técnicas de análise estática de descompiladores que utilizam algoritmos de reconhecimento de padrões baseados em grafos de fluxo de controle, restaurando o fluxo de execução original sem a necessidade de taint analysis ou execução simbólica. ✂️ a) Certo ✂️ b) Errado Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
56Q1038754 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Tecnologia Segurança Infra e Operação, BANRISUL, CESPE CEBRASPE, 2025No DevSecOps, diversas ferramentas são utilizadas para a segurança do software durante todo o ciclo de desenvolvimento. Uma das práticas dessa abordagem consiste na ✂️ a) eliminação da necessidade de auditorias de segurança, pois os testes automatizados garantem a proteção do software. ✂️ b) separação entre desenvolvimento e segurança, que permite que cada equipe trabalhe de forma independente. ✂️ c) integração de testes de segurança automatizados no pipeline de CI/CD, para garantir a detecção precoce de vulnerabilidades. ✂️ d) realização de testes de segurança restrita à fase final do desenvolvimento para evitar impacto na produtividade. ✂️ e) implementação de segurança manual, sem o uso de automação, para garantir maior controle sobre os processos. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
57Q1083986 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Analista de Gestão de TIC, TJ RJ, CESPE CEBRASPE, 2021No que se refere ao gerenciamento de segurança e risco organizacionais de Tecnologia da Informação, os gestores, em momentos de crises, devem criar cenários orçamentários adaptáveis que reflitam a realidade de sua função, de modo a alinhar os serviços de segurança e risco com o valor de uma unidade de negócios para otimizar custos e riscos. Nesse contexto, é recomendado aos gestores ✂️ a) analisar previsões, informações e modelos de organizações de pesquisa, incorporando os resultados ao esforço de otimização de custos. ✂️ b) monitorar atividades essenciais da organização com vistas a criar modelos históricos, prescindindo-os como lição aprendida para uso futuro na otimização de custos. ✂️ c) fazer, logo no início da crise, o máximo de alterações estruturais com foco em uma única área de otimização e com cortes na força de trabalho. ✂️ d) reduzir, obrigatoriamente, os custos de produção, ainda que isso desequilibre esforços nos principais portfólios de serviços e acarrete a interrupção destes. ✂️ e) negociar melhores preços e descontos para seus contratos atuais, com exceção dos custos da linha de base referentes à segurança de TI. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
58Q1041281 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Técnico Judiciário Desenvolvimento de Sistemas, TRF 6 REGIÃO, CESPE CEBRASPE, 2025Acerca de gestão de riscos e continuidade de negócio, julgue o item que se segue, com base na NBR ISO 27005:2019 e na Lei Geral de Proteção de Dados (LGPD).O processo de avaliação de riscos determina o valor dos ativos de informação, identifica as ameaças e vulnerabilidades aplicáveis, determina as consequências possíveis e prioriza os riscos derivados, ordenando-os de acordo com os critérios de avaliação de riscos estabelecidos. ✂️ a) Certo ✂️ b) Errado Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
59Q1040071 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Programação de Sistemas, TRE PB, FCCNo desenvolvimento de aplicações Web, uma medida de proteção simples para a vulnerabilidade Quebra de Autenticação eGerenciamento de Sessão é: ✂️ a) não utilizar interfaces de query dinâmicas ou stored procedures. ✂️ b) utilizar mapeamento indireto de objetos de referência. ✂️ c) desabilitar ou limitar o detalhamento na manipulação de erros para os usuários. ✂️ d) evitar a exposição de referências de objetos privados para os usuários. ✂️ e) utilizar o recurso de logout automático em sessões inativas após um período de expiração. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
60Q1039764 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Técnico Judiciário Desenvolvimento de Sistemas, TRF 6 REGIÃO, CESPE CEBRASPE, 2025Acerca de gestão de riscos e continuidade de negócio, julgue o item que se segue, com base na NBR ISO 27005:2019 e na Lei Geral de Proteção de Dados (LGPD).O processo de gestão de riscos de segurança da informação pode ser relativo à organização como um todo, mas também pode ser aplicado apenas a aspectos particulares de um controle da organização, como o seu plano de continuidade de negócios. ✂️ a) Certo ✂️ b) Errado Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro