Questões resolvidas
Teste aplicado no sistema em que todos os parâmetros de funcionamento da nova aplicação são conhecidos, tais como mensagens de erro, reações da aplicação na interação com outros aplicativos, foram informadas à equipe de testes. Desta maneira, é possível dizer que o tipo de teste utilizado foi:
a . O Black box.
b. O Gray box.
c. O Red box.
d. O White box.
e. O Yellow box.
A equipe de Testes de Invasão foi chamada para conduzir uma verificação a respeito da segurança em uma empresa, porém não tem à sua disposição os parâmetros a serem analisados, não tem orientação por parte da equipe de desenvolvimento a respeito do desempenho esperado para a aplicação. Com base na informação do texto, qual foi o tipo de teste conduzido pela equipe?
a . O Gray box.
b. O Black box.
c. O Red box.
d. O White box.
e. O Yellow box.
Para garantir a melhor forma de se conduzir um teste de vulnerabilidade, indique a alternativa que aponta as metodologias para este tipo de trabalho, com o objetivo de validar sistemas.
a . Apache JMeter, DBMonster, DBTester.
b. Metasploit, NMap, SQLMap.
c. ISSAF, OSSTMM, OWASP.
d. DBMonster, Nmap, OWASP.
e. SQLMap, DBTester, ISSAF.
Qual procedimento deve ser adotado para que sejam evitados problemas judiciais, visto que a diferença entre um teste de invasão e um ataque real é muito pequena quando se pesquisa vulnerabilidade em um sistema terceirizado?
a . Como a diferença é pequena, basta realizar o teste.
b. Como trata-se de um teste, basta coletar as informações para fazer o report.
c. Após a realização mandar um e-mail tranquilizando a empresa terceirizada.
d. Solicitar a autorização às empresas terceirizadas, informando os procedimentos a serem realizados.
e. Enviar um comunicado interno notificando que o serviço de terceiros poderá passar por instabilidades.
Se a aplicação e a rigidez em um teste de vulnerabilidade excederem o bom senso, qual o principal risco ao processo? Lembrando que a proteção das informações é mandatória. Assinale a alternativa que justifique a informação contida no texto acima.
a . Toda informação deve ser protegida, portanto quanto maior a profundidade do escopo melhor.
b. Toda informação deve ser protegida, desta forma todo o sistema deve ser bloqueado.
c. Toda informação deve ser protegida, basta monitorar o sistema e neutralizar um ataque.
d. Toda informação deve ser protegida, enviar um e-mail a todos os funcionários solicitando cuidado com as informações.
e. Toda informação deve ser protegida, porém de acordo com a maturidade de uma empresa no âmbito da segurança da informação um teste muito longo e rigoroso pode trazer prejuízo e as recomendações finais não serem implantadas.
É comum que as organizações tenham representação na internet. Pode haver desde simplesmente um website demonstrando minimamente do que a empresa se trata, quais são seus serviços e suas informações de contato e/ou um perfil em redes sociais com nome, logotipo e alguns dados sobre sua atividade, até grandes portais complexos, com vários sistemas interligados.
Baseado nesta afirmação, em qual fase do processo de aplicação o teste de vulnerabilidade se encontra?
a. Obtenção de informação.
b. Modelagem de ameaças.
c. Análise de vulnerabilidade.
d. Exploração.
e. Pós-exploração.
Funcionários descontentes podem ser um risco à segurança da empresa. Após a saída de um funcionário demitido da empresa, o sistema começou a apresentar instabilidades e indisponibilidades, ou seja, perda de comunicação com servidores, serviços indisponíveis. A equipe de segurança da informação foi solicitada a investigar. Baseado nas informações acima, qual a causa mais provável a ser investigada?
a . Problemas com as comunicações (internet).
b. Problemas de hardware.
c. Problemas com aplicativos.
d. Problemas elétricos.
e. Problemas de ataques externos motivados por ressentimentos.
Durante a rotina de monitoramento do sistema, foram percebidas tentativas de acessos oriundos de estruturas externas à empresa, estavam tentando efetuar o login remoto. Qual a ação a ser tomada pela equipe de segurança ao perceber a tentativa de invasão?
a . Cortar o acesso à internet da empresa.
b. Cortar o acesso de todos os usuários da empresa.
c. Configurar todos os privilégios dos usuários novamente.
d. Configurar as regras do firewall, para inibir o objetivo do ataque.
e. Configurar novas senhas.
Os testes de vulnerabilidade foram concluídos, é chegada a hora de identificar quais são as áreas que apresentam a maior fragilidade e, portanto, uma grande capacidade de comprometer a empresa. De acordo com o planejamento realizado e apresentado aos responsáveis pelo projeto, em que fase do processo o profissional que conduziu o teste se encontra?
a . Obtenção de informações.
b. Modelagem de ameaças.
c. Pós-exploração.
d. Análise de vulnerabilidade.
e. Exploração.
Libere esse material sem enrolação!
Cadastre-se ou realize login
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Libere esse material sem enrolação!
Cadastre-se ou realize login
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Libere esse material sem enrolação!
Cadastre-se ou realize login
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Libere esse material sem enrolação!
Cadastre-se ou realize login
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Libere esse material sem enrolação!
Cadastre-se ou realize login
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Libere esse material sem enrolação!
Cadastre-se ou realize login
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Prévia do material em texto
Curso PARECERES E TESTES DE INVASÃO Teste QUESTIONÁRIO UNIDADE I 0,25 em 0,25 pontos Teste aplicado no sistema em que todos os parâmetros de funcionamento da nova aplicação são conhecidos, tais como mensagens de erro, reações da aplicação na interação com outros aplicativos, foram informadas à equipe de testes. Desta maneira, é possível dizer que o tipo de teste utilizado foi: Resposta Selecionada: d. O White box. Respostas: a. O Black box. b. O Gray box. c. O Red box. d. O White box. e. O Yellow box. Comentário da resposta: Resposta: D Comentário: White Box: método de teste de software em que a estrutura (design) interna do item sendo testado é conhecida pelo testador. · Pergunta 2 0,25 em 0,25 pontos A equipe de Testes de Invasão foi chamada para conduzir uma verificação a respeito da segurança em uma empresa, porém não tem à sua disposição os parâmetros a serem analisados, não tem orientação por parte da equipe de desenvolvimento a respeito do desempenho esperado para a aplicação. Com base na informação do texto, qual foi o tipo de teste conduzido pela equipe? Resposta Selecionada: b. O Black box. Respostas: a. O Gray box. b. O Black box. c. O Red box. d. O White box. e. O Yellow box. Comentário da resposta: Resposta: B Comentário: Black Box: conhecido como teste comportamental, é um método de teste de software no qual a estrutura interna do item que está sendo testado não é conhecida pelo testador. Esses testes podem ser funcionais ou não funcionais, embora geralmente sejam funcionais. · Pergunta 3 0,25 em 0,25 pontos Para garantir a melhor forma de se conduzir um teste de vulnerabilidade, indique a alternativa que aponta as metodologias para este tipo de trabalho, com o objetivo de validar sistemas. Resposta Selecionada: c. ISSAF, OSSTMM, OWASP. Respostas: a. Apache JMeter, DBMonster, DBTester. b. Metasploit, NMap, SQLMap. c. ISSAF, OSSTMM, OWASP. d. DBMonster, Nmap, OWASP. e. SQLMap, DBTester, ISSAF. Comentário da resposta: Resposta: C Comentário: São metodologias utilizadas para testes de penetração, para identificar vulnerabilidades e validar sistemas ISSAF, OSSTMM, OWASP. · Pergunta 4 0,25 em 0,25 pontos Qual procedimento deve ser adotado para que sejam evitados problemas judiciais, visto que a diferença entre um teste de invasão e um ataque real é muito pequena quando se pesquisa vulnerabilidade em um sistema terceirizado? Resposta Selecionada: d. Solicitar a autorização às empresas terceirizadas, informando os procedimentos a serem realizados. Respostas: a. Como a diferença é pequena, basta realizar o teste. b. Como trata-se de um teste, basta coletar as informações para fazer o report. c. Após a realização mandar um e-mail tranquilizando a empresa terceirizada. d. Solicitar a autorização às empresas terceirizadas, informando os procedimentos a serem realizados. e. Enviar um comunicado interno notificando que o serviço de terceiros poderá passar por instabilidades. Comentário da resposta: Resposta: D Comentário: Solicitar a autorização às empresas terceirizadas através de documentação, para evitar problemas para quem estiver realizando a atividade. · Pergunta 5 0,25 em 0,25 pontos Se a aplicação e a rigidez em um teste de vulnerabilidade excederem o bom senso, qual o principal risco ao processo? Lembrando que a proteção das informações é mandatória. Assinale a alternativa que justifique a informação contida no texto acima. Resposta Selecionada: e. Toda informação deve ser protegida, porém de acordo com a maturidade de uma empresa no âmbito da segurança da informação um teste muito longo e rigoroso pode trazer prejuízo e as recomendações finais não serem implantadas. Respostas: a. Toda informação deve ser protegida, portanto quanto maior a profundidade do escopo melhor. b. Toda informação deve ser protegida, desta forma todo o sistema deve ser bloqueado. c. Toda informação deve ser protegida, basta monitorar o sistema e neutralizar um ataque. d. Toda informação deve ser protegida, enviar um e-mail a todos os funcionários solicitando cuidado com as informações. e. Toda informação deve ser protegida, porém de acordo com a maturidade de uma empresa no âmbito da segurança da informação um teste muito longo e rigoroso pode trazer prejuízo e as recomendações finais não serem implantadas. Comentário da resposta: Resposta: E Comentário: O profissional de segurança da informação, durante a fase de planejamento, deve entender a necessidade da empresa e o seu grau de maturidade para preparar o teste mais adequado à estrutura da empresa. · Pergunta 6 0,25 em 0,25 pontos É comum que as organizações tenham representação na internet. Pode haver desde simplesmente um website demonstrando minimamente do que a empresa se trata, quais são seus serviços e suas informações de contato e/ou um perfil em redes sociais com nome, logotipo e alguns dados sobre sua atividade, até grandes portais complexos, com vários sistemas interligados. Baseado nesta afirmação, em qual fase do processo de aplicação o teste de vulnerabilidade se encontra? Resposta Selecionada: a. Obtenção de informação. Respostas: a. Obtenção de informação. b. Modelagem de ameaças. c. Análise de vulnerabilidade. d. Exploração. e. Pós-exploração. Comentário da resposta: Resposta: A Comentário: A investigação das mídias sociais se apresenta como uma importante ferramenta na coleta de informações a respeito da empresa-alvo. · Pergunta 7 0,25 em 0,25 pontos Funcionários descontentes podem ser um risco à segurança da empresa. Após a saída de um funcionário demitido da empresa, o sistema começou a apresentar instabilidades e indisponibilidades, ou seja, perda de comunicação com servidores, serviços indisponíveis. A equipe de segurança da informação foi solicitada a investigar. Baseado nas informações acima, qual a causa mais provável a ser investigada? Resposta Selecionada: e. Problemas de ataques externos motivados por ressentimentos. Respostas: a. Problemas com as comunicações (internet). b. Problemas de hardware. c. Problemas com aplicativos. d. Problemas elétricos. e. Problemas de ataques externos motivados por ressentimentos. Comentário da resposta: Resposta: E Comentário: A motivação desses indivíduos varia de acordo com o ramo de atividade, o posicionamento na sociedade, a relação com o mercado e a política. As motivações mais comuns são: benefícios diretos ou indiretos; hackitivismo; ressentimento; desafio ou reconhecimento; espionagem. · Pergunta 8 0,25 em 0,25 pontos Durante a rotina de monitoramento do sistema, foram percebidas tentativas de acessos oriundos de estruturas externas à empresa, estavam tentando efetuar o login remoto. Qual a ação a ser tomada pela equipe de segurança ao perceber a tentativa de invasão? Resposta Selecionada: d. Configurar as regras do firewall, para inibir o objetivo do ataque. Respostas: a. Cortar o acesso à internet da empresa. b. Cortar o acesso de todos os usuários da empresa. c. Configurar todos os privilégios dos usuários novamente. d. Configurar as regras do firewall, para inibir o objetivo do ataque. e. Configurar novas senhas. Comentário da resposta: Resposta: D Comentário: Firewall trata-se de uma estrutura colocada antes do tráfego de rede ser encaminhado diretamente para aplicação web. Sua função é detectar pacotes malformados e técnicas de injeção de scripts maliciosos. De modo geral, firewalls são baseados em regras, assim, caso essas regras sejam mal configuradas ou existam formas de contorná-las, o ataque poderá ser bem-sucedido. · Pergunta 9 0,25 em 0,25 pontos Os testes de vulnerabilidade foram concluídos,é chegada a hora de identificar quais são as áreas que apresentam a maior fragilidade e, portanto, uma grande capacidade de comprometer a empresa. De acordo com o planejamento realizado e apresentado aos responsáveis pelo projeto, em que fase do processo o profissional que conduziu o teste se encontra? Resposta Selecionada: c. Pós-exploração. Respostas: a. Obtenção de informações. b. Modelagem de ameaças. c. Pós-exploração. d. Análise de vulnerabilidade. e. Exploração. Comentário da resposta: Resposta: C Comentário: O objetivo principal da pós-exploração é verificar quais são os ativos armazenados nas estruturas das redes e a sua capacidade de comprometer outras estruturas internas, assim como a rede como um todo. · Pergunta 10 0,25 em 0,25 pontos Houve um vazamento de informações de dados de clientes. Além do prejuízo financeiro gerado pelo vazamento, foram necessárias ações para se identificar a forma que o evento ocorreu. Localizado o que causou a falha, quais são as ações a serem tomadas pela equipe de teste a partir deste momento? Resposta Selecionada: a. Corrigir a falha e realizar o reporte para as áreas competentes. Respostas: a. Corrigir a falha e realizar o reporte para as áreas competentes. b. Identificar o aplicativo que originou a falha e solicitar a troca. c. Identificar o departamento de desenvolvimento e culpá-lo. d. Proibir o uso da ferramenta de trabalho que causou a falha. e. Romper o contrato, pois sua equipe não identificou a causa do problema. Comentário da resposta: Resposta: A Comentário: Em caso de um vazamento de dados, esse reporte traz informações valiosas do que poderá ser realizado contra a organização, suas medidas protetivas e se há possibilidade de contornar essas medidas.
Mais conteúdos dessa disciplina
Manual de Atividades Extensionistas- 0 NPTEFF Book Chapter 1
- Captura de tela 2026-03-21 112809
- Auditoria de Sistemas - Aula 3
- Questões de Auditoria e COBIT
- a escolha entre sistema analogicos e digitais deve considerar resoluçoes e a integração com outros sistemas de segurança
- Na atividade "criação e promoção" da prática de segurança "estratégia e métricas", qual é a pergunta prevista no modelo SAMM para identificar o mai...
- ual o desempenho esperado para alcance da consequência “dia de descanso?” Questão 5Resposta a. 20 respostas corretas. b. 50 fichas. c. 60 respostas co
- Questão 01 As instalações hidrossanitárias de água quente devem obedecer a uma série de critérios normativos que garantem a segurança, a eficiência...
- Lucas trabalha durante o dia e estuda à noite. Para não se perder nas atividades do curso EaD, ele criou uma rotina: reservou horários fixos para a...
- Questionário_ Estudo de Caso Web e Introdução aos Fundamentos da Contagem
- Avaliação de Cálculo Diferencial e Integral