As 14 principais perguntas e respostas da entrevista OWASP (2024)

Aqui estão as perguntas e respostas da entrevista OWASP para calouros e também para candidatos experientes para conseguir o emprego dos sonhos.


1) O que é OWASP?

OWASP significa Projeto de Segurança de Aplicativos Web Abertos. É uma organização que apoia o desenvolvimento seguro de software.


2) Mencione que falha surge de tokens de sessão com baixa aleatoriedade em uma faixa de valores?

O sequestro de sessão surge de tokens de sessão com baixa aleatoriedade em uma faixa de valores.

Download gratuito de PDF: Perguntas e respostas da entrevista OWASP


3) Mencione o que acontece quando um aplicativo pega os dados inseridos pelo usuário e os envia para um navegador da web sem validação e escape adequados?

O script entre sites ocorre quando um aplicativo pega os dados inseridos pelo usuário e os envia para um navegador da Web sem validação e escape adequados.


4) Mencione que ameaça pode ser evitada com nomes de usuário exclusivos produzidos com um alto grau de entropia?

O desvio de autorização pode ser evitado com nomes de usuário exclusivos gerados com um alto grau de entropia.


5) Explique o que é OWASP WebGoat e WebScarab?

  • WebGoat: É uma ferramenta educacional para aprendizagem relacionada à segurança de aplicativos, uma base para testar ferramentas de segurança em relação a problemas conhecidos. É um J2EE aplicação web organizada em “Lições de Segurança” baseada em Tomcat e JDK 1.5.
  • WebScarab: É uma estrutura para analisar o tráfego HTTP/HTTPS. Ele realiza diversas funções como análise de fragmentos, observação do tráfego entre o servidor e o navegador, interceptação manual, análise de ID de sessão, identificação de novos URLs em cada página visualizada
Perguntas da entrevista da OWASP
Perguntas da entrevista da OWASP

6) Liste as 10 principais vulnerabilidades do OWASP

As 10 principais falhas de segurança do OWASP incluem

  • Injeção
  • Script entre sites
  • Autenticação quebrada e gerenciamento de sessões
  • Armazenamento criptográfico inseguro
  • Falha em restringir
  • Comunicações inseguras
  • Execução de arquivo malicioso
  • Referência de objeto direto insegura
  • Falha ao restringir o acesso ao URL
  • Vazamento de informações e tratamento inadequado de erros

7) Explique que ameaça surge por não sinalizar cookies HTTP com tokens como seguros?

A ameaça de violação de controle de acesso surge da não sinalização de cookies HTTP com tokens como seguros.


8) Nomeie a técnica de ataque que implementa a credencial de sessão ou ID de sessão de um usuário com um valor explícito?

O ataque de dicionário pode forçar a credencial de sessão ou ID de sessão de um usuário a um valor explícito

pergunta da entrevista owasp
OWASP

9) Explique o que o projeto OWASP Application Security Verification Standard (ASVS) inclui?

O projeto padrão de verificação de segurança de aplicativos OWASP inclui

  • Use como métrica: Ele fornece aos proprietários e desenvolvedores de aplicativos um parâmetro para analisar o grau de confiança que pode ser depositado em seus aplicativos da web.
  • Use como orientação: Ele fornece informações aos desenvolvedores de controle de segurança sobre o que incluir nos controles de segurança para atender aos requisitos de segurança do aplicativo.
  • Use durante a aquisição: Ele fornece uma base para especificar requisitos de verificação de segurança de aplicações em contratos

10) Liste os controles a serem testados durante a avaliação?

  • Coleta de informações
  • Teste de gerenciamento de configuração e implantação
  • Identificar testes de gerenciamento
  • Teste de autenticação
  • Teste de Autorização
  • Teste de gerenciamento de sessão
  • Teste de validação de dados
  • Tratamento de erros
  • Criptografia
  • Teste de lógica de negócios
  • Teste do lado do cliente

11) Explique o que é o modo passivo ou fase I de teste de segurança no OWASP?

O modo passivo ou fase I dos testes de segurança inclui a compreensão da lógica do aplicativo e a coleta de informações usando ferramentas apropriadas. Ao final desta fase, o testador deverá compreender todas as portas ou pontos de acesso da aplicação.


12) Mencione qual é a ameaça à qual você estará exposto se não verificar a autorização do usuário para referências diretas a recursos restritos?

Você estará exposto a ameaças por referências diretas a objetos inseguras, se não verificar a autorização do usuário para referências diretas a recursos limitados ou restritos.


13) Explique o que é OWASP ESAPI?

OWASP ESAPI (Segurança Corporativa API) é uma biblioteca de controle de segurança de aplicativos da Web de código aberto que permite aos desenvolvedores criar ou escrever aplicativos de menor risco.


14) Mencione qual é o design básico do OWASP ESAPI?

O design básico do OWASP ESAPI inclui

  • Um conjunto de interfaces de controle de segurança
  • Para cada controle de segurança existe uma implementação de referência
  • Para cada controle de segurança, há opções de implementação para sua própria organização

Essas perguntas da entrevista também ajudarão em sua viva (oral)

Partilhar

Deixe um comentário

O seu endereço de e-mail não será publicado. Os campos obrigatórios são marcados com *