Questão sobre SSL - Segurança da Informação

Question 1

O comércio eletrônico, com a diversidade de transações on-line utiliza o protocolo SSL, que serve para

Accepted Answer

criptografar números de cartão de crédito e informações pessoais, garantindo mais segurança à transação.

Answer

adicionar garantias de pagamento da transação efetuada, por meio de serviços de segurança local.

Answer

incorporar filtros de segurança e serviços para possibilitar a transferência de dados da loja.

Answer

iniciar a URL necessária para a identificação única da transação on-line realizada.

Question 2

. Recentemente foi reportada e amplamente divulgada a vulnerabilidade HeartBleed que potencialmente atingia inúmeros serviços que utilizam a biblioteca OpenSSL. Essa vulnerabilidade explora a função heartbeat do OpenSSL, que é utilizada para que o cliente teste se o servidor está ativo. A respeito dessa vulnerabilidade, é correto afirmar:

Accepted Answer

o HeartBleed é uma vulnerabilidade do tipo buffer overrun. Nessa vulnerabilidade, o cliente envia uma solicitação válida para o servidor, porém com um pedido de um conteúdo maior que o solicitado. Assim, o servidor envia mais dados do que o previsto, possibilitando revelar trechos importantes da memória do servidor como senhas e chaves criptográficas.

Answer

o HeartBleed é uma vulnerabilidade conhecida como man-in-the-middle (homem do meio), pois ele explora uma vulnerabilidade na entidade certificadora raiz do protocolo SSL, utilizando-a como intermediária do ataque. Assim, o HeartBleed se faz passar pela entidade certificadora raiz, sendo capaz de relevar dados sigilosos como senhas e chaves criptográficas do servidor.

Answer

o HeartBleed é uma vulnerabilidade do tipo DDOS (negação de serviço distribuída) que permite que os invasores usem os servidores que utilizam a biblioteca OpenSSL vulnerável como escravos (zumbis) e assim ataquem outros servidores roubando dados sigilosos como senhas e chaves criptográficas.

Answer

o HeartBleed é uma vulnerabilidade do tipo SQL injection, que explora a função heartbeat do OpenSSL substituindo a requisição do heartbeat por consultas SQL maliciosas e, assim, ganhando acesso privilegiado a senhas e chaves criptográficas armazenadas no servidor.

Answer

o HeartBleed é uma vulnerabilidade do tipo session hijacking (sequestro de sessão), que faz com que o invasor explore uma sessão entre o servidor web vulnerável e o navegador, fazendo com que o invasor possa descobrir o identificador de sessão (session token) e, assim, quebrar a criptografia do OpenSSL, tendo acesso a informações sigilosas como senhas e mensagens.

Question 3

Considere as seguintes assertivas a respeito de certificados
digitais de validação avançada EV-SSL.
I - A emissão desse tipo de certificado segue um
conjunto mais rigoroso de verificação da entidade
que o solicita: verificação de que a entidade está
legalmente registrada, ativa e que detém o registro
do domínio para o qual o certificado será emitido,
além de dados adicionais, como o endereço físico.
II - Possui prazo de validade padrão de 10 anos, visto
que a verificação para sua emissão é mais rigorosa.
III - Garante que aquele que detém o certificado
cumpre as leis referentes ao seu ramo de atividade
e assegura os termos das transações comerciais
no site com certificado EV-SSL.
Quais estão corretas?

Accepted Answer

Apenas I.

Answer

Apenas II.

Answer

Apenas III.

Answer

Apenas I e II.

Answer

Apenas II e III.

Question 4

Considere os cenários I e II.I. Um site não usa SSL em todas as páginas autenticadas. O atacante simplesmente monitora o tráfego de rede (como uma
rede wireless aberta), e rouba o cookie de sessão do usuário. O atacante então reproduz este cookie e sequestra a
sessão do usuário, acessando dados privados do mesmo.
II. O banco de dados de senhas dos usuários usa hashes simples (unsalted) para armazenar as senhas de todos. Uma falha
de upload de arquivos permite que um atacante recupere o arquivo de senhas. Todos os hashes simples poderão ser
expostos através de uma rainbow table de hashes pré-calculados. Os cenários I e II podem expor uma aplicação a riscos conhecidos como

Accepted Answer

Exposição de Dados Sensíveis.

Answer

Falta de Função para Controle do Nível de Acesso.

Answer

Redirecionamentos e Encaminhamentos Inválidos.

Answer

Quebra de Autenticação e Gerenciamento de Sessão.

Answer

Utilização de Componentes Vulneráveis Conhecidos.

Question 5

O SSL (Secure Socket Layer) se tornou padrão para a transferência de dados com segurança nos serviços de páginas, e-mail,
entre outros. O HTTPS, ou seja, HTTP com SSL, utiliza o esquema de criptografia de chave

Accepted Answer

assimétrica durante o processo de estabelecimento da conexão e a criptografia de chave simétrica na fase de transmissão de dados.

Answer

simétrica gerada pelo servidor para o estabelecimento da conexão.

Answer

simétrica durante o processo de estabelecimento da conexão e a criptografia de chave assimétrica na fase de transmissão de dados.

Answer

assimétrica no qual o navegador deve emitir a sua chave pública para receber a chave simétrica.

Answer

assimétrica em todas as fases da sessão de comunicação.

Question 6

O protocolo de segurança SSL é utilizado para prover a privacidade e a integridade de dados entre duas
aplicações que se comuniquem pela internet. O que SSL significa?

Accepted Answer

Secure Sockets Layer.

Answer

Secure Server Layer.

Answer

Secure System Login.

Answer

System Sockets Layer.

Answer

System Server Layer.

Question 7

Das alternativas abaixo, marque aquela que tem uma URL,
escrita de forma correta, que utiliza o protocolo SSL/TLS
acrescentando assim, uma camada extra de segurança.

Accepted Answer

https://www.google.com

Answer

www.http://site.com

Answer

http://www.globo.com

Answer

https:.//hotmail.com

Questões de concursos sobre "SSL" | Segurança da Informação - página 4

Q16707 - COTEC Técnico em Informática 2013

Q16782 - COPEVE-UFAL Técnico de Tecnologia da Informação 2014

Q16836 - FAURGS Técnico em Informática - Classe M 2014

Q16935 - FCC Técnico Judiciário - Programação de Sistemas 2015

Q16938 - FCC Técnico Judiciário - Programação de Sistemas 2015

Q17039 - CCV-UFC Técnico de Laboratório - Informática 2016

Q17133 - IDIB Técnico em Informática 2018