Questão nº 66
Questão de Tecnologia da Informação · FGV CGE-SP 2025 (nº 66)
Uma aplicação web corporativa está vulnerável aos ataques em que usuários maliciosos conseguem fazer a aplicação executar comandos arbitrários do sistema operacional por meio da manipulação de parâmetros que são passados diretamente para funções de execução de processos no servidor.
Este tipo de vulnerabilidade caracteriza-se como
- ASQL Injection.
- BPath Traversal.
- CCommand Injection. (alternativa correta)
- DCross-Site Scripting (XSS).
- EXML External Entity (XXE).
Resposta comentada
Gabarito Alternativa C
A Command Injection ocorre quando um invasor consegue fazer uma aplicação executar comandos do sistema operacional no servidor, manipulando dados de entrada que são usados na construção desses comandos.
(A) Incorreta: SQL Injection envolve a inserção de comandos SQL maliciosos em consultas de banco de dados, não comandos do sistema operacional.
(B) Incorreta: Path Traversal permite acessar arquivos e diretórios fora do diretório raiz da aplicação, manipulando caminhos de arquivo, não executando comandos arbitrários do sistema.
(C) Correta: A descrição se encaixa perfeitamente na Command Injection, onde a manipulação de parâmetros leva à execução de comandos arbitrários do sistema operacional no servidor.
(D) Incorreta: Cross-Site Scripting (XSS) injeta scripts (geralmente JavaScript) no navegador do usuário, afetando o cliente, não a execução de comandos no servidor.
(E) Incorreta: XML External Entity (XXE) explora vulnerabilidades em parsers XML para acessar arquivos locais, realizar requisições ou, em alguns casos, executar código, mas a descrição da questão foca na injeção direta de comandos do sistema operacional via parâmetros, que é a essência da Command Injection.
Fonte: FGV CGE-SP 2025 Auditor Estadual de Controle - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.