1

Notas: 5

Requisitos identificados para garantir o acesso legítimo ao sistema e que

buscam garantir a continuidade do serviço estão descritos nos:

Escolha uma resposta.

a. requisitos de disponibilidade

b. requisitos de confidencialidade

c. requisitos de integridade

d. requisitos de não repúdio

Opção correta.

Correto
Notas relativas a este envio: 5/5.

Question2
Notas: 5

A categorização de segurança do sistema é uma atividade da engenharia de

requisitos segura que deve ser realizada:

Escolha uma resposta.

a. No estágio final da engenharia de requisitos, durante

a “especificação” e “gestão” de requisitos.

b. Durante toda a engenharia de requisitos, ou seja,

desde a “concepção” até a “gestão” de requisitos.
c. Durante a “especificação” dos requisitos, onde serão
definidas as funções e restrições do sistema.
d. No estágio inicial da engenharia de requisitos,
durante a “concepção” e “levantamento” de

requisitos.

Opção correta.

Correto
Notas relativas a este envio: 5/5.

Question3
Notas: 5
Marque a alternativa que melhor completa o texto:

O ________ é um padrão para categorização de segurança em duas etapas: a

primeira consiste em identificar e categorizar os ________ do sistema; a
segunda consiste em categorizar o sistema de acordo com o resultado obtido
na primeira etapa. De acordo com esse padrão, cada tipo de informação do
sistema passa por uma análise qualitativa de riscos analisando __________ da
perda de ________, ________ e ________.

Escolha uma resposta.

a. FIPS 189; requisitos de segurança; a probabilidade;

confidencialidade, integridade e não repúdio.

b. OWASP ASVS; tipos de informação; a probabilidade;

integridade, não repúdio e autenticidade.
c. FIPS 199; tipos de informação; o impacto;

confidencialidade, integridade e disponibilidade.

d. FIPS 199; requisitos de segurança; o impacto;
confidencialidade, integridade e disponibilidade.

Opção correta.

Correto
Notas relativas a este envio: 5/5.

Question4
Notas: 5

Laços infinitos e chamadas impróprias à memória são ameaças a qual dos

seguintes princípios de segurança?

Escolha uma resposta.

a. Confidencialidade

b. Autorização

c. Disponibilidade
d. Autenticação

Opção correta.

Correto
Notas relativas a este envio: 5/5.
Question5
Notas: 5

O uso de criptografia do tráfego de rede é um requisito para atingir qual

objetivo?

Escolha uma resposta.

a. Integridade

b. Não repúdio

c. Confidencialidade
d. Disponibilidade

Opção correta.

Correto
Notas relativas a este envio: 5/5.

Avaliação de aprendizagem - 2
Revisão da tentativa 1
Finalizar visualização

Iniciado em sexta, 16 junho 2017, 20:21

Completado em sexta, 16 junho 2017, 20:31

Tempo 10 minutos 4 segundos

empregado

Nota 20 pontos de um total de 25 (80%) de acertos

Question1
Notas: 5

Marque a alternativa que não corresponde a um objetivo da fase de elaboração

da arquitetura de software:

Escolha uma resposta.

a. Reduzir a complexidade ciclomática do código.

 b. Garantir o alinhamento técnico do projeto com as
diretrizes e estratégias organizacionais.
c. Manter a rastreabilidade com os requisitos

especificados.
d. Antecipar e mitigar riscos técnicos de um projeto.

Opção incorreta.

Errado
Notas relativas a este envio: 0/5.

Question2
Notas: 5

Marque a alternativa correta:

Escolha uma resposta.

a. É importante usar a menor quantidade possível

de controles de segurança para atender ao princípio de
“economia de mecanismos”.

b. O uso de múltiplas camadas de proteção para dificultar

que um atacante ultrapasse os controles de segurança

consiste no princípio de “defesa em profundidade”.

c. Segundo o princípio “segurança por obscuridade” as
informações valiosas devem ser bem escondidas nos
códigos pouco acessados, dificultando que um atacante as
descubra.
d. Um projeto de software aderente ao princípio de “falha
segura” garante a recuperação automática em caso de
falhas.

Opção correta.

Correto
Notas relativas a este envio: 5/5.

Question3
Notas: 5

Marque a alternativa incorreta em relação à superfície de ataques:

Escolha uma resposta.

 a. A superfície de ataques de uma aplicação consiste
nos pontos de entrada e saída, que incluem as
interfaces da aplicação, os formulários e os relatórios
gerados pelo sistema.

b. A superfície de ataque de um software cresce à

medida que sua exposição aumenta, ou seja, uma
aplicação com acesso remoto está mais suscetível a
ataques que uma aplicação de acesso restrito.
c. Documentos de apoio para a determinação da
superfície de ataques incluem os documentos oriundos
da fase de requisitos que ajudam a entender os
requisitos do sistema, tais como os casos de uso e de
abuso.
d. Um software com alta superfície de ataque é mais
vulnerável que um software com baixa superfície de

ataque.

Opção correta.

Correto
Notas relativas a este envio: 5/5.

Question4
Notas: 5

Marque a alternativa correta em relação à modelagem de ameaças:

Escolha uma resposta.

a. Por melhor que seja a modelagem de ameaças, é

inviável fazer o rastreamento entre os objetivos de
negócio, as ameaças e os controles de segurança.

b. A modelagem de ameaças é uma tarefa puramente

manual em que o uso de sistemáticas com auxílio de
ferramentas não consegue contribuir para a execução
do trabalho.
c. Uma ameaça pode ser não intencional ou maliciosa,
sendo que a modelagem deve ter foco principal nas
ameaças maliciosas, pois somente elas podem
comprometer o software.
d. A modelagem de ameaças consiste em documentar
os riscos de um software observando o ambiente de
produção e toda a arquitetura da solução da

perspectiva de um atacante.
Opção correta.

Correto
Notas relativas a este envio: 5/5.

Question5
Notas: 5

Marque a alternativa correta em relação às categorias de amaças STRIDE:

Escolha uma resposta.

a. O vazamento ou exposição de informações (Information

disclosure) é uma ameaça direta à integridade dos dados
armazenados pelo sistema.

b. Spoofing consiste em falsificar credenciais

de autenticação fazendo-se passar por alguém.

c. O Denial of Service (DOS ou negação de serviço) é uma
ameaça à disponibilidade do sistema e pode ser controlado
por meio da criptografia das informações trafegadas entre o
cliente e o servidor web.
d. Elevation of privilege é uma ameaça ao não repúdio que
tem como objetivo ganhar permissões sem a devida
autorização.

Opção correta.

Correto
Notas relativas a este envio: 5/5.

1
Notas: 5

O uso de múltiplos fatores de autenticação é uma forma de diminuir a

probabilidade de ocorrência de qual risco de segurança?

Escolha uma resposta.

a. Buffer overflow

b. Falha na restrição de acesso a URL

c. Injeção de código

d. Cross site scripting

Opção correta.

Correto
Notas relativas a este envio: 5/5.

Question2
Notas: 5

Implementar o uso de tokens únicos para acessar cada funcionalidade crítica

da aplicação é uma técnica efetiva utilizada para evitar:

Escolha uma resposta.

a. Buffer overflow

b. Man in the middle

c. Injeção de código

d. Cross site request forgery

Opção correta.

Correto
Notas relativas a este envio: 5/5.

Question3
Notas: 5

Qual alternativa não está entre os erros comuns de implementação descritos

no CWE/SANS Top 25 que causam falha na autenticação ou no gerenciamento
de sessão?

Escolha uma resposta.

a. Credenciais explícitas no código.

b. Execução com privilégios desnecessários.

c. Restrição imprópria de tentativas excessivas de

autenticação.
d. Falta de autenticação em funções críticas.

Opção incorreta.

Errado
Notas relativas a este envio: 0/5.
Question4
Notas: 5

Qual dos controles relacionados abaixo é efetivo no tratamento de referência

insegura a objetos?

Escolha uma resposta.

a. Autenticação utilizando múltiplos fatores.

b. Validação das entradas/saídas de dados.

c. Mascaramento dos parâmetros da URL.

d. Armazenar senhas utilizando algoritmo de hash
seguro.

Opção correta.

Correto
Notas relativas a este envio: 5/5.

Question5
Notas: 5

Qual alternativa não se caracteriza como uma configuração insegura do

software?

Escolha uma resposta.

a. Concessão de privilégios altos para funções básicas.

b. Listagem de diretórios habilitada no servidor.

c. Customizar as configurações do software.

d. Credenciais armazenadas no código-fonte.

1
Notas: 5

Marque a alternativa correta em relação aos testes de caixa branca e caixa

preta.

Escolha uma resposta.

 a. A vantagem da metodologia caixa preta está na sua
simplicidade, pois nenhum conhecimento da lógica

interna da aplicação é necessário.

b. Por meio do teste de caixa branca, conhecido

como análise dinâmica, o código-fonte da aplicação é
analisado em busca de erros no comportamento da
aplicação em execução.
c. Dentre os recursos necessários para realizar testes de
caixa preta estão: os arquivos de configuração da
aplicação, os casos de uso, de abuso e o código-fonte.
d. Uma desvantagem dos testes de caixa branca é não
conseguir apontar precisamente onde o erro ocorreu.

Opção correta.

Correto
Notas relativas a este envio: 5/5.

Question2
Notas: 5

O ______________ e o ______________ são duas técnicas de testes de caixa

preta, sendo que elas atuam de modo ______________ e ______________,
respectivamente. O modo passivo é realizado durante a primeira etapa dos
testes de invasão, chamada de ______________, que servirá de base para a
etapa de ______________ do sistema.

Escolha uma resposta.

a. escaneamento de vulnerabilidades; teste de invasão;

passivo; ativo; reconhecimento; exploração.

b. fuzzing; teste de invasão; passivo; ativo;

identificação; reconhecimento.
c. teste de invasão; escaneamento de vulnerabilidades;
passivo; ativo; exploração; remoção de evidências.
d. escaneamento de vulnerabilidades; fuzzing;
promíscuo; passivo; reconhecimento; remoção de
evidências.

Opção correta.

Correto
Notas relativas a este envio: 5/5.
Question3
Notas: 5

Identifique a vulnerabilidade que não pode ser encontrada por meio dos testes
do mecanismo de entrada de dados.

Escolha uma resposta.

a. Injeção de código.

b. Cross site scripting.

c. Criptografia insegura.
d. Buffer overflow.

Opção correta.

Correto
Notas relativas a este envio: 5/5.

Question4
Notas: 5

Marque a alternativa correta em relação aos métodos de validação whitelist e

blacklist.

Escolha uma resposta.

a. A desvantagem da abordagem whitelist é ter que

atualizar constantemente a lista devido ao surgimento
de novos ataques a cada dia.

b. É um desafio para as duas abordagens definir uma

lista que permita somente os dados legítimos (no caso
da whitelist) ou que abranja todos os casos de

entrada/saída maliciosos (no caso da blacklist).

c. O uso das abordagens whitelist e blacklist são
incompatíveis, ou seja, não podem ser utilizadas
simultaneamente para validação de dados.
d. A vantagem da abordagem de blacklist é o baixo
número de falsos negativos que ela proporciona.

Opção correta.

Correto
Notas relativas a este envio: 5/5.
Question5
Notas: 5

Para identificar o tratamento adequado de buffer overflow é necessário realizar

os seguintes casos de teste:

Escolha uma resposta.

a. Verificação do tamanho limite dos recursos de

memória.

b. Análise das consultas (queries) construídas

dinamicamente.
c. Identificar patches de segurança.

d. Validação do algoritmo de encoding.

Opção correta.

Correto
Notas relativas a este envio: 5/5.