SóProvas

ID
1768243
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item a seguir, a respeito de testes de invasão em aplicações web, banco de dados, sistemas operacionais e dispositivos de redes.

Um ataque do tipo CSRF (cross-site request forgery) permite que um usuário final execute ações não desejáveis em uma aplicação web falha.

Alternativas
Comentários
  • Cross-site request forgery é um tipo de ataque informático malicioso a um website no qual comandos não autorizados são transmitidos através de um utilizador em quem o website confia. Em contraste com o cross-site scripting (XSS), que explora a confiança de um utilizador para um site particular, o CSRF explora a confiança que um website tem do navegador do usuário. FONTE: https://www.wikiwand.com/pt/Cross-site_request_forgery

  • Tão genérico que só poderia estar correto.

  • CSRF (Cross Site Scripting Request Forgery)

    -Consiste em inserir requisições em uma sessão já aberta pelo usuário, explorando a confiança que um site tem do navegador.
    -Atua após a obtenção do cookie gerado pela aplicação após a autenticação.
    -Por meio do cookie, o servidor acredita estar se comunicando.

     

    Fonte: Itnerante

    -----------------------------------------------------------------------------------------------------------------------------------------------------

     

    Ou seja, no CSRF o usuário vai acessar um site que confia, por exemplo o www.saraiva.com.br, esse usuário vai efetuar a compra de livros, portanto logicamente vai inserir seus dados (nome, endereço, telefone, num cartão crédito ou débito....)... Partindo disso, o atacante vai fisgar/aproveitar dos cookies desse usuário para entrar no site da saraiva disfarçado do usuário, o saraiva vai pensar que realmente quem ta acessando o site é o usuário, mas será o atacante.

  • Explora a confiança da aplicação web no usuário que está conectado.

    Força a vítima a criar requisições HTTP forjada incluindo cookie.

  • GABARITO: CERTO.

  • Não confundir :

    Cross-site scripting (ou XSS) permite que um invasor execute JavaScript arbitrário no navegador de um usuário vítima.

    A falsificação de solicitação entre sites (ou CSRF) permite que um invasor induza um usuário vítima a realizar ações que não pretendem