O gerenciamento dos riscos é um ponto importante a ser considerado na disponibilização de aplicações. Sobre as etapas do processo de gerenciamento de riscos, marque a alternativa correta.

Qual das seguintes opções é um exemplo de algoritmo de criptografia assimétrica?

Durante a fase de testes de segurança de uma aplicação, um analista submete entradas de dados aleatórias e inválidas com o objetivo de explorar falhas na manipulação de buffers ou exceções não tratadas. Essas entradas são alimentadas através de uma interface web, onde o sistema deve ser capaz de lidar com erros sem comprometer a segurança ou estabilidade. O analista observa e registra as falhas para posterior correção. Assinale a técnica que melhor descreve esse procedimento de testes.

De acordo com a ABNT NBR ISO/IEC 27005:2023, “a utilidade de categorizar controles como preventivos, detectivos e corretivos reside em seu uso, para assegurar que a construção de planos de tratamento de riscos sejam resilientes a falhas nos controles.” Considerando uma seleção apropriada de controles preventivos, detectivos e corretivos, assinale a alternativa correta.

Durante a realização de testes de invasão em uma aplicação Web, um analista encontrou um vetor de ataque para uma travessia de diretórios. Marque a alternativa que possui um payload válido para este ataque.

Uma equipe de tratamento de incidentes está analisando uma campanha de phishing através da qual um atacante utiliza uma página falsa com várias camadas transparentes ou opacas para induzir suas vítimas a interagir com uma página Web diferente daquela que eles acreditam estar interagindo. Marque a alternativa que identifica esse tipo de ataque e uma possível técnica de mitigação para ele.

Uma empresa de médio porte recentemente designou um gestor para a área de segurança da informação, entretanto as práticas de segurança ainda são implementadas de maneira reativa e de forma descentralizada pelas demais equipes de Tecnologia da Informação. Marque a alternativa que apresenta, respectivamente, os níveis de rigor das práticas de governança de risco de segurança cibernética e de gerenciamento de risco de segurança cibernética desta empresa de acordo com a Estrutura de Segurança Cibernética 2.0, do Instituto Nacional de Padrões e Tecnologias (NIST CSF 2.0).

De acordo com a ABNT NBR ISO/IEC 27002:2022, a respeito do uso aceitável de informações e outros ativos associados, NÃO convém que uma política específica por tema declare:

Descendo para a terceira posição do OWASP Top Ten:2021, a categoria de Injeção inclui Enumerações de Fraquezas Comuns (Common Weaknesses Enumeration - CWE) notáveis como: CWE-79: Cross-site Scripting; CWE-89: SQL Injection e CWE-73: External Control of File Name or Path.
Assinale a alternativa que NÃO apresenta uma forma de mitigar vulnerabilidades nessa categoria.

“O Open Worldwide Application Security Project (OWASP) é uma fundação sem fins lucrativos que trabalha para melhorar a segurança do software. [...] Somos uma comunidade aberta dedicada a permitir que organizações concebam, desenvolvam, adquiram, operem e mantenham aplicativos confiáveis. Todos os nossos projetos, ferramentas, documentos, fóruns e capítulos são gratuitos e abertos a qualquer pessoa interessada em melhorar a segurança de aplicativos”.
(Fonte: https://owasp.org/about/).

Assinale a alternativa que descreve o OWASP Top Ten.