Questão 4047736

4047736 Ano: 2026
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: SEFAZ-SP

Provas:

Auditor-Fiscal da Receita Estadual - TI
Provas ×

Segurança Física

Um órgão fazendário federal mantém uma API para que empresas consultem pendências tributarias. A equipe de segurança identificou que o backend reutiliza o mesmo token de acesso OAuth2 por até 24 horas, sem rotação, com permissões amplas e sem validação de escopo em relação ao que o cliente solicitou. Um atacante que obtenha esse token consegue consultar dados de múltiplos contribuintes. Nesse cenário, considerando o OWASP Top 10:2021, a ação que corrige diretamente as falhas de controle de acesso e de sessão descritas é

implementar assinatura digital do payload JSON (JWS) em todas as respostas da AP| de consulta tributaria.

reduzir o tempo de vida dos tokens, implementar rotação periódica e validar rigorosamente os escopos permitidos para cada cliente.

exigir TLS 1.3 em todas as conexões com a API para garantir criptografia ponta a ponta.

aplicar compressão dos payloads para minimizar o volume de dados sensíveis trafegando na API e reduzir o tempo de vida do token pela metade.

incluir um CAPTCHA na interface de envio de consultas para dificultar o abuso automatizado da API e aumentar a segurança.

Provas

Questão presente nas seguintes provas

Provas

Acesse sua Conta

Crie uma Conta