Na análise de vulnerabilidades em aplicações web, a determinação precisa do tipo de servidor web em que um aplicativo é executado viabiliza que testadores de segurança verifiquem se o aplicativo é vulnerável, identificando, por exemplo, servidores que executem versões mais antigas de software suscetíveis a exploits conhecidos.

Na execução de uma aplicação web, a possibilidade de um usuário não autenticado agir como um usuário autenticado ou de um usuário comum autenticado agir como um administrador representa falha de segurança de elevação de privilégios relacionada ao controle de acesso da aplicação.

Em um sistema de comunicação em rede, a criptografia assimétrica, como o RSA, pode ser usada para proteger o processo de troca de uma chave secreta entre duas partes; após o compartilhamento seguro dessa chave, um algoritmo de criptografia simétrica, como o AES, pode ser utilizado para proteger a transmissão de grandes volumes de dados, devido à sua maior eficiência em comparação aos algoritmos assimétricos para esse tipo de tarefa.

Conforme a NBR ISO/IEC 27002, a organização está isenta de responsabilidade legal ou contratual quando componentes defeituosos ou vulneráveis da infraestrutura de TIC de um fornecedor causarem violações de segurança de dados compartilhados da organização ou de terceiros, desde que haja acordo de confidencialidade assinado entre a organização e o fornecedor.

De acordo com a NBR ISO/IEC 27001, ao estabelecer o programa de auditoria interna, a organização deve desconsiderar resultados de auditorias anteriores para minimizar possíveis vieses, e sortear os auditores encarregados entre aqueles capacitados, de modo a evitar influências políticas no processo da auditoria interna.

Um ataque do tipo cross-site request forgery tem como alvo funcionalidades que causem mudanças de estado no servidor de uma aplicação autenticada, como, por exemplo, alteração do endereço de e-mail ou da senha da vítima, ou realização de compras em nome da vítima.

No contexto do protocolo OpenID Connect, um identity token representa o resultado de um processo de autenticação, com assinatura digital, que contém declarações descritoras do usuário e os detalhes da autenticação, como, por exemplo, informações sobre como e quando o usuário foi autenticado.

No que se refere ao CMMI 2.0, julgue os itens a seguir.

As áreas de prática de verificação e validação estão contidas na categoria de engenharia.

No que se refere ao CMMI 2.0, julgue os itens a seguir.

O nível 4 do CMMI 2.0, gerenciado quantitativamente, é alcançado quando dados quantitativos são usados para medir e controlar uma área de processo.

No que se refere ao CMMI 2.0, julgue os itens a seguir.

O gerenciamento de configurações de produtos e serviços é uma área de processo da categoria de gestão de processos.