Logo Mapa da Prova

Questões de Tecnologia da Informação - Testes de penetração (pentest)

    Nenhum resultado
    Nenhum resultado
    Nenhum resultado
    Nenhum resultado
    Nenhum resultado
    Nenhum resultado
    Nenhum resultado
    Nenhum resultado
    Nenhum resultado
    Nenhum resultado

Limpar pesquisa

Configurar questões
Tamanho do Texto
Modo escuro

Questão: 1 de 20

326815

copy

Banca: CESPE / Cebraspe

Órgão: ABIN

Cargo(s): Oficial - Inteligência | ÁREA 4

Ano: 2018

Matéria/Assunto: Tecnologia da Informação > Segurança da Informação / Testes de penetração (pentest)

Com o objetivo de direcionar testes de penetração a ser
executados em uma organização, um analista deve considerar os
seguintes requisitos.


I Devem ser realizados ataques sem que o testador tenha
conhecimento prévio acerca da infraestrutura e(ou) aplicação.

II Devem ser enviadas ao testador informações parciais e(ou)
limitadas sobre os detalhes internos do programa de um
sistema, simulando, por exemplo, um ataque de hacker externo.


Tendo como referência a situação hipotética apresentada, julgue os
itens que se seguem.
O requisito II é uma descrição do teste de penetração do tipo white-box, que é normalmente considerado uma simulação de ataque por fonte interna e(ou) usuário privilegiado.

Questão: 2 de 20

326816

copy

Banca: CESPE / Cebraspe

Órgão: ABIN

Cargo(s): Oficial - Inteligência | ÁREA 4

Ano: 2018

Matéria/Assunto: Tecnologia da Informação > Segurança da Informação / Testes de penetração (pentest)

Com o objetivo de direcionar testes de penetração a ser
executados em uma organização, um analista deve considerar os
seguintes requisitos.


I Devem ser realizados ataques sem que o testador tenha
conhecimento prévio acerca da infraestrutura e(ou) aplicação.

II Devem ser enviadas ao testador informações parciais e(ou)
limitadas sobre os detalhes internos do programa de um
sistema, simulando, por exemplo, um ataque de hacker externo.


Tendo como referência a situação hipotética apresentada, julgue os
itens que se seguem.
O requisito I é uma descrição do teste de penetração do tipo black-box, que pode ser realizado com ferramentas de descoberta de vulnerabilidade para a obtenção das informações iniciais sobre o sistema e a organização de fontes públicas.

Questão: 3 de 20

326817

copy

Banca: CESPE / Cebraspe

Órgão: ABIN

Cargo(s): Oficial - Inteligência | ÁREA 4

Ano: 2018

Matéria/Assunto: Tecnologia da Informação > Segurança da Informação / Testes de penetração (pentest)

Acerca de testes de penetração, julgue os itens seguintes.
Situação hipotética: O acesso a uma aplicação web com permissão de administrador é realizado por meio do valor informado em uma variável, conforme a seguir.



Assertiva: Nesse caso, de acordo com a OWASP (Open Web Application Security Project), o teste de penetração black-box automatizado é efetivo para encontrar uma vulnerabilidade, dados o valor fixo para a variável e a forma de passagem: pedido via .

Questão: 4 de 20

326818

copy

Banca: CESPE / Cebraspe

Órgão: ABIN

Cargo(s): Oficial - Inteligência | ÁREA 4

Ano: 2018

Matéria/Assunto: Tecnologia da Informação > Segurança da Informação / Testes de penetração (pentest)

Acerca de testes de penetração, julgue os itens seguintes.
Na situação apresentada na figura a seguir, de acordo com o OSSTMM (The Open Source Security Testing Methodology Manual), seria correto classificar o teste de penetração como um teste do tipo tandem, mas não como um teste double blind, haja vista que, na técnica tandem, o alvo não recebe notificação prévia referente ao alcance da auditoria, aos canais testados e aos vetores de teste.

Questão: 5 de 20

326819

copy

Banca: CESPE / Cebraspe

Órgão: ABIN

Cargo(s): Oficial - Inteligência | ÁREA 4

Ano: 2018

Matéria/Assunto: Tecnologia da Informação > Segurança da Informação / Testes de penetração (pentest)

Acerca de testes de penetração, julgue os itens seguintes.
Na análise de vulnerabilidades, uma das fases da execução do teste de penetração de acordo com o PTES (Penetration Testing Execution Standard), a varredura de porta é uma técnica que ajuda a obter uma visão geral básica do que pode estar disponível na rede de destino ou no host; na exploração, outra fase da execução de tal teste, o fuzzing visa recriar um protocolo ou aplicativo e enviar dados no aplicativo com o intuito de identificar uma vulnerabilidade.