Super Lista DSS

Com base no que foi discutido em sala de aula responda as seguintes questões. A Lista não e para se entregue sendo que a correção dela e das questões mais relevantes será realizada na semana de volta as aulas.

1. Por que e importante se preocupar com os conceitos básicos de segurança em sistemas de informação?
2. O que e uma SQL Injection? Como ela funciona?
3. Quais são os principais perigos da SQL Injection?
4.  Pegando com base a seguinte tela:

[pic 3]

E a seguinte codificação:

<% 
dim nomeUsuario, senhaUsuario, consulta 
dim conn, rS 
nomeUsuario = Request.Form("nomeUsuario") 
senhaUsuario = Request.Form("senhaUsuario") 
set conn = server.createObject("ADODB.Connection") 
set rs = server.createObject("ADODB.Recordset") 
consulta = "select count(*) from usuarios where nomeUsuario='" & nomeUsuario & "' and senhaUsuario='" & senhaUsuario & "'"

conn.Open "Provider=SQLOLEDB; Data Source=(local);Initial Catalog=myDB; User Id=sa; senhaUsuario=" 
rs.activeConnection = conn 
rs.open consulta 
if not rs.eof then 
    response.write "Acesso Concedido" 
else 
    response.write "Acesso Negado" 
end if 
%>

Responda as seguinte questões:

1. Qual pode ser o resultado esperado para a seguinte entrada de dados:

nome = tes'te
senha = 

1. Qual pode ser o resultado esperado para a seguinte entrada de dados:

nome = ' ; drop table users--
senha =

1. Qual pode ser o resultado esperado para a seguinte entrada de dados:

nome = admin
senha = ' or 1=1--

1. Qual e a principal forma de se evitar uma SQL injection? O que realmente deve ser trabalhado?
2. São caracteres que é recomendado se rejeitar durante a entrada de dados todos abaixo, exceto:

1. /* ... */
2. --
3. ;
4. “”

1. Crie em pseudo linguagem uma codificação que tem como objetivo prevenir a entrada de caracteres não recomendados e de palavras reservadas da linguagem SQL em uma entrada de dados.
2. O que é internaciolização?
3. Por que e importante durante o desenvolvimento de software se pensar nesta questão de internacionalização?
4. Quais problemas podem acontecer se questões de internacionalização não forem trabalhadas? Cite um exemplo pratico.
5. Quando se desenvolve um sistema para determinada região do mundo por que e importante se ter a cultura e hábitos claros? Quais problemas podem ser apresentados?
6. Por que e recomendado que a representação de textos em sistemas de informação seja utilizada na padrão de Unicode?
7. Não são exemplos de codificações que podem ser utilizadas para desenvolvimento de software, exceto:

1. UTF-89;
2. ASCCII;
3. Unicode;
4. Uncode;

1. Pela não utilização de uma padrão de Unicode pode ser o problema por exemplo, um sistema para ser utilizado no Brasil fosse adaptado para ser utilizado na França?
2. Pense no seguinte cenário e nos problemas que podem acontecer:
   “Sua Equipe foi contrata para desenvolver um conjunto de soluções para uma empresa Americana, um dos focos e o calculo de quanto combustível que os veículos da empresa estão gastando.”
3. O que é  o protocolo SSL? Qual a sua utilidade?
4. Qual e o principal objetivo da GSS-API?

1. O que a imagem a seguir representa? Explique como funciona aquele tipo de ataque:

[pic 4]

1. O que o ataque sequestro de Sessão? Como e o seu funcionamento?
2. Como e o funcionamento de uma RPC(Remote Procedure Call)?
3. Quais são as principais Ameaças na utilização do RPC?
4. O que e um ataque DoS.
5. Quais podem ser os problemas por se aceitar a execução de objetos ActiveX de fontes desconhecidas.
6. Comente o funcionamento do ataque da seguinte imagem:

[pic 5]

1. Para você  qual foi a maior repercussão do caso SONY? Quais problemas podem ter ocorridos?
2. Quais os principais problemas que podem ser causados por se omitir em documentação informações de segurança? Exemplo não deixa claro quais podem ser as falhas de um sistema.
3. Por que a documentação deve ser Completa, Clara e Concisa?
4. Quais problemas podem ser gerados por mensagens de erro vagas?

1. Crie uma mensagem de erro para o seguinte cenário:

“O usuário acabou de tentar logar no sistema e pode ter sido informado que a senha ou mesmo seu nome de usuário estão incorretos. O sistema e case sensitive, ou seja faz diferenciação de letras maiúsculas e minúsculas?”

...