SóProvas

ID
1987048
Banca
CESPE / CEBRASPE
Órgão
POLÍCIA CIENTÍFICA - PE
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

O ataque a sistemas computacionais que explora a relação de confiança entre um aplicativo web e seu usuário legítimo é denominado

Alternativas
Comentários

  • O CSRF (do inglês Cross-site request forgery- Falsificação de solicitação entre sites) é um tipo de ataque informático malicioso a um website no qual comandos não autorizados são transmitidos através de um utilizador em quem o website confia.

  • Gabarito C

    Nos últimos tempos, um problema recorrente e perigoso em aplicações web conhecido como CSRF (Cross-Site Request Forgery) tem sido muito comentado. Um ataque de CSRF consiste em inserir requisições em uma sessão já aberta pelo usuário. O processo básico é:

    o usuário se autentica em uma aplicação web alvo

    o usuário utiliza a mesma instância de browser para navegar em um site malévolo

    o site malévolo manipula o browser para que seja feita uma requisição à aplicação alvo

    como há uma sessão autenticada aberta para o usuário, a aplicação alvo executa a operação conforme a requisição recebida

    Ou seja, o site malévolo consegue manipular a situação de forma a executar uma ação em nome do usuário. A manipulação do browser citada no item 3 acima pode ser feita de várias formas:

    se a aplicação alvo aceitar requisições via método GET, basta incluir uma tag  contendo todos os parâmetros necessários à aplicação alvo (qualquer outra tag que faça uma requisição HTTP funcionará da mesma forma);

    usando scripts incluídos na página, o que permite a execução de requisições GET ou POST.

    Este ataque é extremamente difícil de ser detectado, dado que um identificador de sessão correto e válido será incluído na requisição recebida pela aplicação e a requisição partirá do mesmo browser e endereço IP das requisições legítimas. A aplicação web não como separar a requisição correspondente ao ataque das requisições legítimas.

    Para evitar ataques de CSRF, a aplicação pode implementar as recomendações do item Usar corretamente POST e GET e também utilizar valores aleatórios a serem incluídos em cada formulário como um campo escondido, como mostra o exemplo abaixo:

    <form ...>
    <input type="hidden" name="csrf_value"
    value="8dcb5e56904d9b7d4bbf333afdd154ca">
     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Questão dúbia. Poderia muito bem ser pishing, pois ataques de pishing também fazem uso da confiança que o cliente deposita no "dono da aplicação". O atacante, ao enviar um email como se fosse um banco, por exemplo, utilizando um website idêntico ao original, e induzindo o usuário a achar que realmente está utilizando o sistema bancário legítimo, está fazendo uso da engenharia social e da confiança que o usuário deposita nessa instituição bancária. CESPE sendo CESPE como sempre. Mesmo nas questões de múltipla escolha eles conseguem fazer questões ambíguas e contestáveis.

  • O Cross-Site Request Forgery (CSRF) é uma classe de ataques que explora a relação de confiança entre um aplicativo web e seu usuário legítimo. Para execução do CSRF, o usuário mal intencionado deve induzir o utilizador legítimo, seja por meio de engenharia social ou outros artifícios como cross site scripting, a executar atividades arbitrárias no aplicativo, permitindo que virtualmente qualquer ação específica possa ser realizada no sistema sem o consentimento do usuário final.

  • Gabarito C

    O Cross-Site Request Forgery (CSRF) é uma classe de ataques que explora a relação de confiança entre um aplicativo web e seu usuário legítimo. 

  • CSRF (do inglês Cross-site request forgeryFalsificação de solicitação entre sites) é um tipo de ataque informático malicioso a um website no qual comandos não autorizados são transmitidos através de um utilizador em quem o website confia.

  • CSRF (do inglês Cross-site request forgeryFalsificação de solicitação entre sites) é um tipo de ataque informático malicioso a um website no qual comandos não autorizados são transmitidos através de um utilizador em quem o website confia.

  • O CSRF é uma classe de ataques que explora a relação de confiança entre um aplicativo web e seu usuário legítimo. Nesse caso, os cibercriminosos usam o artifício para modificar de forma imperceptível as configurações de DNS, roubando dados das pessoas através de sites de phishing e minerando de graça por meio de anúncios mal-intencionados.

  • Cross Site Request Forgery (CSRF)

    - Após a autenticação, os arquivos de sessão (cookies) são capturados pelo atacante.

    - Explora a confiança do servidor no navegador (cliente/browser).

    - Atacante insere requisições.

    Alternativa: C

  • A) SYN flood - SYN flood ou ataque SYN é uma forma de ataque de negação de serviço 

    B) phishing – uma página da internet que parece confiável, mas que tem a finalidade de “pescar” seus dados

    GABARITO C) CSRF - explora a confiança que um site tem no navegador de um usuário

    D) trojan - qualquer malware que engana os usuários sobre sua verdadeira intenção

    E) spyware - spyware é um tipo de programa automático intruso destinado a infiltrar-se para coletar informações pessoais ou confidenciais do usuário

    fonte: google

    *** mesmo pesquisando não entendi direito o que é CSRF

  • vale ressaltar que:

    Diferença entre XSS e CSRF: 

    XSS tira proveito da confiança que o usuário tem no site. Explora o usuário/navegador. 

    CSRF tira proveito da confiança que o site tem no usuário. Explora o site/sessão

    cuidado para não confundir.

  • c-

    Cross-site request forgery, also known as one-click attack or session riding and abbreviated as CSRF or XSRF, is a type of malicious exploit of a website where unauthorized commands are submitted from a user that the web application trusts.

    https://en.wikipedia.org/wiki/Cross-site_request_forgery