Demais assuntos engenharia de software

Question 1

Frente

Answer 1

Verso

Question 2

O que é a OWASP?

Answer 2

Organização sem fins lucrativos focada na segurança de aplicações web

Question 3

O que é o OWASP Top 10?

Answer 3

Lista das 10 principais vulnerabilidades de segurança em aplicações web

Question 4

O que é o OWASP ASVS?

Answer 4

Padrão para avaliação de segurança em aplicações

Question 5

O que é o OWASP ZAP?

Answer 5

Ferramenta gratuita usada para testes de segurança em aplicações web

Question 6

O que é o OWASP Dependency-Check?

Answer 6

Ferramenta que analisa dependências de projetos para identificar vulnerabilidades conhecidas em bibliotecas e frameworks.

Question 7

O que é o OWASP SAMM?

Answer 7

Modelo que ajuda empresas a melhorar a maturidade de seus processos de segurança de software.

Question 8

O que é ‘Quebra de controle de acesso’ no OWASP Top 10?

Answer 8

Permite que usuários não autorizados acessem dados ou funcionalidades restritas.

Question 9

O que são ‘Falhas criptográficas’ no OWASP Top 10?

Answer 9

Exposição de dados sensíveis por falta de criptografia ou uso de algoritmos inseguros.

Question 10

O que é ‘Injeção’ no OWASP Top 10?

Answer 10

Ataques como SQL Injection e NoSQL Injection

Question 11

O que é ‘Design inseguro’ no OWASP Top 10?

Answer 11

Falhas arquiteturais e de lógica de negócio que comprometem a segurança desde o início.

Question 12

O que são ‘Falhas de segurança na implementação’ no OWASP Top 10?

Answer 12

Configurações inseguras

Question 13

O que são ‘Componentes vulneráveis e desatualizados’ no OWASP Top 10?

Answer 13

Uso de bibliotecas e frameworks antigos com falhas conhecidas.

Question 14

O que são ‘Falhas de identificação e autenticação’ no OWASP Top 10?

Answer 14

Senhas fracas

Question 15

O que são ‘Falhas na integridade de software e dados’ no OWASP Top 10?

Answer 15

Uso de repositórios inseguros

Question 16

O que são ‘Falhas de logging e monitoramento de segurança’ no OWASP Top 10?

Answer 16

Falta de logs ou monitoramento inadequado

Question 17

O que é ‘Falsificação de requisição do lado do servidor (SSRF)’ no OWASP Top 10?

Answer 17

Permite que um atacante manipule um servidor para fazer requisições indesejadas a outros sistemas internos.

Question 18

O que é autenticação?

Answer 18

Processo de verificar a identidade de um usuário ou sistema por meio de credenciais como usuário e senha

Question 19

Qual a diferença entre autenticação e autorização?

Answer 19

Autenticação verifica quem está acessando o sistema; autorização define o que esse usuário pode acessar dentro do sistema.

Question 20

O que é Basic Authentication?

Answer 20

Método onde o usuário fornece nome de usuário e senha

Question 21

Quais são as limitações do Basic Authentication?

Answer 21

Inseguro sem HTTPS

Question 22

O que é Session-Based Authentication?

Answer 22

Após o login

Question 23

Quais são os problemas do Session-Based Authentication?

Answer 23

Escalabilidade limitada

Question 24

O que é Token-Based Authentication?

Answer 24

Em vez de sessões

Question 25

Quais são os benefícios do Token-Based Authentication?

Answer 25

Maior escalabilidade

Question 26

O que é JWT (JSON Web Token)?

Answer 26

Formato compacto e seguro para transmitir informações entre partes como um objeto JSON

Question 27

Quais são as vantagens do JWT?

Answer 27

Autocontido

Question 28

O que é OAuth?

Answer 28

Protocolo de autorização que permite acesso limitado a recursos do usuário sem expor suas credenciais.

Question 29

Quais são os fluxos principais do OAuth?

Answer 29

Authorization Code

Question 30

O que é OpenID Connect?

Answer 30

Extensão do OAuth 2.0 que adiciona autenticação

Question 31

Qual a diferença entre OpenID Connect e OAuth?

Answer 31

OAuth é para autorização (acesso a recursos)

Question 32

O que é SSO (Single Sign-On)?

Answer 32

Mecanismo que permite ao usuário acessar múltiplas aplicações com uma única autenticação.

Question 33

Como funciona o SSO?

Answer 33

O usuário autentica-se uma vez com um provedor de identidade e recebe acesso a múltiplas aplicações sem necessidade de novos logins.

Question 34

Quais são as tecnologias comuns de SSO?

Answer 34

SAML

Question 35

O que é SAML (Security Assertion Markup Language)?

Answer 35

Padrão baseado em XML para troca de informações de autenticação e autorização entre domínios de segurança.

Question 36

Como funciona o fluxo de autenticação SAML?

Answer 36

O provedor de identidade autentica o usuário e envia uma asserção SAML ao provedor de serviço

Question 37

Qual a diferença entre SAML e OAuth/OpenID?

Answer 37

SAML é usado principalmente para autenticação em ambientes corporativos; OAuth/OpenID são mais comuns em aplicações web modernas.

Question 38

O que é STS (Security Token Service)?

Answer 38

Serviço que emite tokens de segurança para autenticação e autorização em diferentes aplicações ou serviços.

Question 39

Como funciona um STS?

Answer 39

Recebe uma solicitação de autenticação

Question 40

O que é um Authorization Server?

Answer 40

É um componente central em protocolos como OAuth 2.0 e OpenID Connect

Question 41

Quais são as principais funções de um Authorization Server?

Answer 41

1. Autenticação do usuário; 2. Emissão de tokens de acesso e atualização; 3. Gerenciamento de permissões (scopes); 4. Validação e expiração de tokens.

Question 42

O que é um Access Token?

Answer 42

É um token emitido pelo Authorization Server após a autenticação do usuário

Question 43

O que é um Refresh Token?

Answer 43

É um token que permite ao aplicativo obter novos Access Tokens sem que o usuário precise se autenticar novamente.

Question 44

O que são Scopes em um Authorization Server?

Answer 44

São permissões específicas que definem o nível de acesso que o aplicativo terá aos recursos do usuário

Question 45

Como o Authorization Server gerencia a expiração de tokens?

Answer 45

Define regras de validade para os tokens emitidos e pode revogá-los se necessário

Question 46

Qual a diferença entre Authorization Server e Authentication Server?

Answer 46

O Authentication Server confirma a identidade do usuário (quem ele é)

Question 47

Quais são exemplos de Authorization Servers populares?

Answer 47

Auth0

Question 48

O que é o fluxo de autenticação no OAuth 2.0?

Answer 48

É o processo pelo qual um usuário obtém acesso a recursos protegidos

Question 49

Qual o primeiro passo no fluxo de autenticação?

Answer 49

O usuário inicia a autenticação tentando acessar um aplicativo cliente que requer acesso a recursos protegidos.

Question 50

O que acontece após o usuário iniciar a autenticação?

Answer 50

O cliente redireciona o usuário para o Authorization Server

Question 51

Como o usuário autentica no Authorization Server?

Answer 51

O usuário fornece suas credenciais

Question 52

O que é gerado após a autenticação bem-sucedida?

Answer 52

O Authorization Server gera um código de autorização e redireciona o usuário de volta para o aplicativo cliente.

Question 53

Como o cliente obtém o Access Token?

Answer 53

O cliente envia o código de autorização

Question 54

Como o Access Token é utilizado?

Answer 54

O cliente usa o Access Token para acessar recursos protegidos em APIs

Question 55

O que acontece quando o Access Token expira?

Answer 55

O cliente pode usar o Refresh Token para solicitar um novo Access Token sem que o usuário precise se autenticar novamente.

Question 56

Qual a vantagem desse fluxo de autenticação?

Answer 56

As credenciais do usuário nunca ficam expostas ao aplicativo cliente

Question 57

O que é o Authorization Code Flow?

Answer 57

Fluxo de autenticação mais seguro

Question 58

Quais as vantagens do Authorization Code Flow?

Answer 58

Maior segurança

Question 59

O que é o Authorization Code Flow com PKCE?

Answer 59

Versão aprimorada do Authorization Code Flow para aplicações mobile e SPAs

Question 60

Por que utilizar o PKCE?

Answer 60

Previne ataques de interceptação de código

Question 61

O que é o Implicit Flow?

Answer 61

Fluxo onde o token de acesso é retornado diretamente no redirecionamento

Question 62

Por que o Implicit Flow é desaconselhado?

Answer 62

O token é exposto na URL

Question 63

O que é o Client Credentials Flow?

Answer 63

Fluxo utilizado para autenticação entre aplicações (machine-to-machine)

Question 64

Quando utilizar o Client Credentials Flow?

Answer 64

Em comunicações entre servidores ou serviços backend

Question 65

O que é o Resource Owner Password Credentials Flow?

Answer 65

Fluxo onde o usuário fornece suas credenciais diretamente ao cliente para obter um token de acesso. Deve ser evitado devido a riscos de segurança.

Question 66

Por que evitar o Resource Owner Password Credentials Flow?

Answer 66

Requer que o usuário confie suas credenciais ao cliente

Question 67

O que é o fluxo SAML?

Answer 67

Fluxo de autenticação federada utilizando o protocolo SAML

Question 68

Como funciona o fluxo SAML?

Answer 68

O usuário é redirecionado para o provedor de identidade

Question 69

O que é o OpenID Connect (OIDC)?

Answer 69

Protocolo de autenticação baseado no OAuth 2.0 que permite verificar a identidade do usuário e obter informações de perfil de forma segura.

Question 70

Como o OIDC se diferencia do OAuth 2.0?

Answer 70

Enquanto o OAuth 2.0 trata de autorização