Questões de Concurso

Um órgão fazendário federal mantém uma API para que empresas consultem pendências tributarias. A equipe de segurança identificou que o backend reutiliza o mesmo token de acesso OAuth2 por até 24 horas, sem rotação, com permissões amplas e sem validação de escopo em relação ao que o cliente solicitou. Um atacante que obtenha esse token consegue consultar dados de múltiplos contribuintes. Nesse cenário, considerando o OWASP Top 10:2021, a ação que corrige diretamente as falhas de controle de acesso e de sessão descritas é

(a)

implementar assinatura digital do payload JSON (JWS) em todas as respostas da AP| de consulta tributaria.

(b)

reduzir o tempo de vida dos tokens, implementar rotação periódica e validar rigorosamente os escopos permitidos para cada cliente.

(c)

exigir TLS 1.3 em todas as conexões com a API para garantir criptografia ponta a ponta.

(d)

aplicar compressão dos payloads para minimizar o volume de dados sensíveis trafegando na API e reduzir o tempo de vida do token pela metade.

(e)

incluir um CAPTCHA na interface de envio de consultas para dificultar o abuso automatizado da API e aumentar a segurança.