-
ERRADO.
Muito pelo contrário. A ideia do ataque é justamente injetar códigos, como o JAVASCRIPT, nas páginas e formulários, para posterior captura de dados dos usuários.
Prof. André Castro - Estratégia Concursos
-
Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que ativam ataques maliciosos ao injetarem client-side script dentro das páginas web vistas por outros usuários. Um script de exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controles de acesso que usam a política de mesma origem.
https://pt.wikipedia.org/wiki/Cross-site_scripting
ERRADO
-
O ataque de Cross-site scripting (XSS) consiste em uma vulnerabilidade causada pela falha nas validações dos parâmetros de entrada do usuário e resposta do servidor na aplicação web. Este ataque permite que código HTML seja inserido de maneira arbitrária no navegador do usuário alvo.
-
Errado.
Cross-Site Scripting (XSS): Falhas XSS ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. XSS permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites, ou redirecionar o usuário para sites maliciosos.
https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf
-
Errada.
"Outra classe geral de vulnerabilidades refere-se a entradas fornecidas por um usuário a um programa que, subsequentemente, fornece como saída a entrada para outro usuário. Tais ataques são conhecidos como Cross-Site Scripting porque são mais comumente vistos em aplicações Web escritas em linguagem de script. Essa vulnerabilidade envolve a inclusão de código script no conteúdo HTML de uma página Web exibida pelo navegador do usuário."
A palavra "não" matou a questão.
Fonte: Segurança de Computadores - Princípios e Práticas, William Stallings e Lawrie Brown, Ed Elsevir, página 343.
-
Ataque XSS (cross site script)
- Sessão não precisa estar autenticada
- Inclui script em sites legítimos para capturar dados do usuário
- Explora usuário / navegador
Não confundam com o CSRF (cross site request forgery)
- Falsificação de solicitação entre sites
- Sessões autenticadas
-
Errado.
(2015/CESPE/MEC)Uma falha de XSS (cross-site script) permite que um atacante insira código malicioso em páginas web, de forma a redirecionar, por exemplo, uma resposta a um local controlado pelo atacante. certo
XSS tira proveito da confiança que o usuário tem no site. Explora o usuário/navegador.
CSRF tira proveito da confiança que o site tem no usuário. Explora o site/sessão
-
Ataque XSS Baseado em DOM: O terceiro tipo de ataque XSS explora o Document Object Model (DOM), que é a interface que define a leitura de HTML e XML no navegador. O script é capaz de alterar as propriedades das aplicações que executam estes tipos de extensões diretamente no navegador, portanto sem necessidade de interação com o servidor para performar o ataque. Neste caso, a falha está na validação do código HTML ou XML no navegador.