SóProvas

ID
1853176
Banca
CESPE / CEBRASPE
Órgão
FUNPRESP-EXE
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere aos tipos de ataques a aplicações web, julgue o próximo item.

Um ataque de XSS (cross site script) não permite a injeção de código em formulários HTTP.

Alternativas
Comentários

  • ERRADO.


    Muito pelo contrário. A ideia do ataque é justamente injetar códigos, como o JAVASCRIPT, nas páginas e formulários, para posterior captura de dados dos usuários.


    Prof. André Castro - Estratégia Concursos

  • Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que ativam ataques maliciosos ao injetarem client-side script dentro das páginas web vistas por outros usuários. Um script de exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controles de acesso que usam a política de mesma origem.

    https://pt.wikipedia.org/wiki/Cross-site_scripting

    ERRADO

  • O ataque de Cross-site scripting (XSS) consiste em uma vulnerabilidade causada pela falha nas validações dos parâmetros de entrada do usuário e resposta do servidor na aplicação web. Este ataque permite que código HTML seja inserido de maneira arbitrária no navegador do usuário alvo.

  • Errado.

     

    Cross-Site Scripting (XSS): Falhas XSS ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. XSS permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites, ou redirecionar o usuário para sites maliciosos.

     

    https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf

  • Errada. 

    "Outra classe geral de vulnerabilidades refere-se a entradas fornecidas por um usuário a um programa que, subsequentemente, fornece como saída a entrada para outro usuário. Tais ataques são conhecidos como Cross-Site Scripting porque são mais comumente vistos em aplicações Web escritas em linguagem de script. Essa vulnerabilidade envolve a inclusão de código script no conteúdo HTML de uma página Web exibida pelo navegador do usuário."

    A palavra "não" matou a questão.

    Fonte: Segurança de Computadores - Princípios e Práticas, William Stallings e Lawrie Brown, Ed Elsevir, página 343.

  • Ataque XSS (cross site script)

    • Sessão não precisa estar autenticada
    • Inclui script em sites legítimos para capturar dados do usuário
    • Explora usuário / navegador

    Não confundam com o CSRF (cross site request forgery)

    • Falsificação de solicitação entre sites
    • Sessões autenticadas

  • Errado.

    (2015/CESPE/MEC)Uma falha de XSS (cross-site script) permite que um atacante insira código malicioso em páginas web, de forma a redirecionar, por exemplo, uma resposta a um local controlado pelo atacante. certo

    XSS tira proveito da confiança que o usuário tem no site. Explora o usuário/navegador. 

    CSRF tira proveito da confiança que o site tem no usuário. Explora o site/sessão

  • Ataque XSS Baseado em DOM: O terceiro tipo de ataque XSS explora o Document Object Model (DOM), que é a interface que define a leitura de HTML e XML no navegador. O script é capaz de alterar as propriedades das aplicações que executam estes tipos de extensões diretamente no navegador, portanto sem necessidade de interação com o servidor para performar o ataque. Neste caso, a falha está na validação do código HTML ou XML no navegador.