-
Gabarito: E.
Quando a autenticação e o gerenciamento da sessão de aplicação não são feitos corretamente, isso permite que os atacantes comprometam senhas, chaves e tokens de sessão ou, ainda, explorem outra falha da implementação para assumir a identidade de outros usuários. Isso está relacionado à vulnerabilidade de software "Quebra de autenticação e Gerenciamento de Sessão".
A vulnerabilidade "Referência Insegura e Direta a Objetos" trata-se de outro conceito, em que um programador expõe uma referência à implementação interna de um objeto, como um arquivo, diretório, ou registro da base de dados. Sem a verificação do controle de acesso ou outra proteção, os atacantes podem manipular estas referências para acessar dados não autorizados.
-
A fonte para responder essa questão está em
https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf
Acredito, inclusive, que foi de onde o nosso colega Sávio Luiz buscou informações para respondê-la.
-
Gabarito E
Ótima resposta do amigo companheiro Sávio Luiz !
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !
-
fui um pouco pela interpretacao o que m deixo na duvida foi situacao da WEB
-
O próprio examinador pode nem ter pensando desse forma, mas eu pensei e EU ESTOU CERTO!
quando autenticação não acontece de forma correta, ocorre BLABLABLA...
Isso soa como uma consequência automática. E claramente isso tá errado.
quando autenticação não acontece de forma correta, PODE ocorrer...
escrito desse jeito, a questão até PODERIA ficar certa. Não afirmo que FICARIA pq não domino o conteúdo do resto da frase
-
GABARITO: ERRADO.
-
Um ataque CSRF força a vítima que possui uma sessão ativa em um navegador a enviar uma requisição HTTP forjada, incluindo o cookie da sessão da vítima e qualquer outra informação de autenticação incluída na sessão, a uma aplicação web vulnerável. Esta falha permite ao atacante forçar o navegador da vítima a criar requisições que a aplicação vulnerável aceite como requisições legítimas realizadas pela vítima.
Falhas XSS ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. XSS permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites, ou redirecionar o usuário para sites maliciosos.
Uma referência insegura e direta a um objeto ocorre quando um programador expõe uma referência à implementação interna de um objeto, como um arquivo, diretório, ou registro da base de dados. Sem a verificação do controle de acesso ou outra proteção, os atacantes podem manipular estas referências para acessar dados não-autorizados.
As funções da aplicação relacionadas com autenticação e gerenciamento de sessão geralmente são implementadas de forma incorreta, permitindo que os atacantes comprometam senhas, chaves e tokens de sessão ou, ainda, explorem outra falha da implementação para assumir a identidade de outros usuários.
As falhas de Injeção, tais como injeção de SQL, de SO (Sistema Operacional) e de LDAP, ocorrem quando dados não confiavéis são enviados para um interpretador como parte de um comando ou consulta. Os dados manipulados pelo atacante podem iludir o interpretador para que este execute comandos indesejados ou permita o acesso a dados não autorizados.
-
GABARITO ERRADO!
.
.
Uma referência direta à objeto ocorre quando um desenvolvedor expõe a referência a um objeto implementado internamente, como é o caso de arquivos, diretórios, registros da base de dados ou chaves, na forma de uma URL ou parâmetro de formulário. Os atacantes podem manipular estas referências para acessar outros objetos sem autorização.
.
.
https://owasp.org/www-pdf-archive/OWASP_TOP_10_2007_PT-BR.pdf