FGV2023Fiscal de Tributos EstaduaisTecnologia da Informação
Questão de Tecnologia da Informação — FGV Sefaz-MT 2023 - Tarde (nº 27)
A quebra de controle de acesso é um dos principais riscos de segurança nas aplicações web.
Para prevenir-se desta vulnerabilidade, segundo o OWASP, é recomendado
- Apermitir, por padrão, o acesso a todos os recursos da aplicação, ocultando apenas os recursos de configuração.
- Bcertificar-se de que a aplicação mantenha válidos os tokens JWT no servidor após o logout do usuário.
- Chabilitar o recurso de listagem de diretórios e arquivos do servidor web para que terceiros possam auditar o site.
- Dimplementar mecanismos de controle de acesso uma vez e reutilizá-los em toda aplicação.
- Emanter presente no diretório raiz da aplicação web os metadados dos arquivos e os dados de backups.
Resposta comentada
Gabarito Alternativa D
- (A) Incorreta: o OWASP recomenda o princípio de negar por padrão (deny by default), exceto para recursos públicos explicitamente liberados, exatamente o oposto de permitir tudo por padrão.
- (B) Incorreta: o correto é invalidar (revogar) os tokens JWT no servidor após o logout, e não mantê-los válidos, sob pena de reuso indevido da sessão.
- (C) Incorreta: listar diretórios e arquivos do servidor expõe informações sensíveis e é uma má prática que o OWASP recomenda desabilitar.
- (D) Correta: o OWASP recomenda implementar os mecanismos de controle de acesso uma única vez e reutilizá-los em toda a aplicação, reduzindo a superfície de falhas de implementação inconsistente.
- (E) Incorreta: manter metadados e backups acessíveis no diretório raiz expõe dados sensíveis a atacantes; o recomendado é removê-los do ambiente de produção acessível publicamente.
Fonte: FGV Sefaz-MT 2023 - Tarde Fiscal de Tributos Estaduais (Caderno Tipo 1). Reproduzida para fins de estudo.
Continue estudando
Pratique milhares de questões como esta, de graça, com explicação e gamificação no Quizinho.
Estudar de graça no Quizinho