SóProvas

ID
1112080
Banca
FCC
Órgão
TRF - 3ª REGIÃO
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considere as seguintes descrições dos ataques que podem ser realizados por meio da internet:

I. Ocorrem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta SQL. Os dados manipulados pelo atacante podem iludir o interpretador para que este execute comandos indesejados ou permita o acesso a dados não autorizados.

II. Ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos.

III. Força a vítima, que possui uma sessão ativa em um navegador, a enviar uma requisição HTTP forjada, incluindo o cookie da sessão da vítima e qualquer outra informação de autenticação incluída na sessão, a uma aplicação web vulnerável. Esta falha permite ao atacante forçar o navegador da vítima a criar requisições que a aplicação vulnerável aceite como requisições legítimas realizadas pela vítima.

As descrições I, II e III correspondem, respectivamente, a ataques

Alternativas
Comentários

  • Injeção de SQL são código não confiáveis que são enviados ao navegador sem validação ou filtro adequados

    Cross-site scripting (XSS) é um tipo de vulnerabilidade que ocorrem quando dados não confiáveis são enviados ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos. 

    O CSRF (do inglês Cross-site request forgery- Falsificação de solicitação entre sites) é um tipo de exploração maliciosa de um website pelo qual comandos não autorizados são transmitidos de um usuário que confia no website.

  • Cross-Site Request Forgery (CSRF) é uma classe de ataques que explora a relação de confiança entre um aplicativo  web e seu usuário legítimo. Para execução do CSRF, o usuário mal intencionado deve induzir o utilizador legítimo, seja por meio de engenharia social ou outros artifícios como cross-site scripting, a executar atividades arbitrárias no aplicativo, permitindo que virtualmente qualquer ação específica possa ser realizada no sistema sem o consentimento do usuário final. Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que ativam ataques maliciosos ao injetarem client-side script (SQL) dentro das páginas web vistas por outros usuários. Um script de exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controlos de acesso que usam a política de mesma origem. Injeção – Diversos métodos de injeção de códigos: Injeção SQL – Injeção de códigos SQL; Local File Inclusion – Injeção de arquivos locais na página; Remote File Inclusion – Injeção de arquivos remotos na página; Code Injection – Injeção de códigos na página; Command Injection – Injeção de comandos na página. Letra d.

  • de Injeção => SQL

    Cross-Site Scripting => Script

    Cross-Site Request Forgery => "session id"

     

    Fontes:


    www.profalmeidajunior.com.br 
    www.apcti.com.br

  • GABARITO LETRA D