SóProvas


ID
2096623
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o seguinte item, relativo à segurança de aplicativos web.

Limitar o tempo de vida dos cookies de uma sessão e implementar mecanismos de desafio-resposta, como o captcha, são contramedidas para ataques de CSRF (cross-site request forgery).

Alternativas
Comentários
  • CSRF (do inglês Cross-site request forgeryFalsificação de solicitação entre sites) é um tipo de ataque informático malicioso a um website no qual comandos não autorizados são transmitidos através de um utilizador em quem o website confia.[1] Em contraste com o cross-site scripting (XSS), que explora a confiança de um utilizador para um site particular, o CSRF explora a confiança que um website tem do navegador do usuário.

  • Um ataque CSRF consiste em inserir requisições em uma sessão já aberta pelo usuário.

     

    algumas formas de prevenção:

     

    Mitigação com controles alternativos

    Outros controles que não tokens, nem combinação de cookies com corpo da resposta ajudam a prevenir ataques que exploram o CSRF. São eles:

    Validação do cabeçalho "Referer": Sim, é simples e ajuda bastante. Um atacante não consegue modificar o cabeçalho "Referer". Uma tentativa de ataque de CSRF vai trazer na requisição que o site que originou a requisição é "malicioso.com.br" e não "banco.com.br";

    Verificar o cabeçalho "Origin": Parecido com o "Referer", mas diferente. O cabeçalho Origin foi criado para prevenir ataques entre domínios e, diferentemente do "Referer", o cabeçalho Origin é enviado mesmo em requisições HTTP originadas de URLs em HTTPS;

    Adicionar um Captcha: Visto que o Captcha mitiga ataques automatizados, ele também serve para bloquear ataques CSRF, porque o Captcha tem que ser preenchido corretamente.

     

    veja mais em:

    https://dadario.com.br/csrf-o-que-e/

  • Em contraste com o cross-site scripting (XSS), que explora a confiança de um utilizador para um site particular, o CSRF explora a confiança que um website tem do navegador do usuário.

  • http://blog.caelum.com.br/protegendo-sua-aplicacao-web-contra-cross-site-request-forgerycsrf/

     

    Leia esse artigo

  • Essa questão e os comentários me dispertaram a curiosidade em analisar qual a diferença entre CSRF e XSS, achei um artigo em inglês, portanto a tradução automática não fica tão boa assim, mas deu p sanar a dúvida:

     

    "A diferença fundamental é que o CSRF (falsificação de solicitação entre sites) ocorre em sessões autenticadas quando o servidor confia no usuário / navegador, enquanto o XSS (Cross-Site scripting) não precisa de uma sessão autenticada e pode ser explorado quando o site vulnerável não faz o básico de validar ou escapa  dos controles de acesso que usam a política de mesma origem."

     

    https://www.quora.com/What-is-the-difference-between-XSS-and-CSRF-from-their-execution-perspective

  • CERTO

    O ataque CSRF explora a relação de confiança entre um aplicativo web e seu usuário legítimo. Medidas que implementam mecanismos como o captcha (o velho e bom não sou um robôkk) ajuda a comprovar a autenticidade de quem está acessando o site.

  • Gabarito: Certo

    Diferença entre XSS e CSRF:

    XSS tira proveito da confiança que o usuário tem no site. Explora o usuário/navegador.

    CSRF tira proveito da confiança que o site tem no usuário. Explora o site/sessão. Com isso, implementando o que a questão traz, limitar o tempo dos cookies e implementar o captcha, faz com que o site questione a confiança no usuário mais vezes e em menor tempo. Isso ajuda contra CSRF.

  • O CSRF é um tipo de exploit malicioso de um website, no qual comandos não autorizados são transmitidos a partir de um  usuário em quem a aplicação web confia. Há muitos meios em que um site web malicioso pode transmitir tais comandos, tags de imagem especialmente criadas, formulários ocultos e XMLHttpRequests de Java Script , por exemplo, podem funcionar sem a interação do usuário ou mesmo seu conhecimento. Diferente do  (XSS), que explora a confiança que um usuário tem para um site específico, o CSRF explora a confiança que um site tem no navegador de um usuário.

  • XSS tira casquinha do usuário no site.

    CSRF tira casquinha do navegador do cliente.

  • Só complementando:

    Sempre confundo a sigla, gravei assim:

    XSS -- Xuxa, a rainha dos baixinhos (é o usuário)

    Explora a confiança que um usuário tem em um site.

    CRSS -- CoRreio Braziliense (é o site)

    Explora a confiança que um site tem no navegador de um usuário.

  • TCU. só é lembara que o DF é mantido pela união, quem assina o check é quem presta as contas .