-
Cross-site scripting: Também conhecido como XSS, é um tipo de vulnerabilidade que permite injeção de códigos no lado cliente (client-side) de aplicações Web. Este tipo de vulnerabilidade habilita os atacantes a ignorar os controles de acesso, obter privilégios de acesso, desfigurar páginas Web e obter dados sensíveis como logins, senhas ou números de cartões de créditos (BODMER, 2007).
Fonte:
http://www.bcc.ufla.br/wp-content/uploads/2013/09/TESTES-DE-SEGURAN%C3%87A-EM-APLICA%C3%87%C3%95ES-WEB-SEGUNDO-A.pdf
-
CERTO.
Segundo o documento OWASP TOP 10-2013,"Falhas XSS ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. XSS permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites, ou redirecionar o usuário para sites maliciosos."
-
GABARITO: CERTO.
-
Cross-site script é um ataque que explora a confiança do cliente no servidor. O cliente é o navegador, que vai realizar a ligação com o servidor de páginas. O cliente confia em um determinado site (ex.: site do seu banco), no entanto esse site estava com uma falha e alguém inseriu um script malicioso nele.
Ex.: imagine que um formulário de cadastro no site da Amazon tem uma vulnerabilidade e foi colocado um script malicioso nele, que solicita que o usuário coloque sua senha duas vezes. O usuário faz isso porque acredita que o site seja confiável.
Explicação: Prof. Jósis Alves - GranCursos Online