SóProvas

ID
2096656
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

No que diz respeito à segurança em redes, julgue o próximo item.

Para bloquear um ataque de XSS (cross-site script) a uma aplicação web, é suficiente desativar o suporte a XML no navegador do usuário.

Alternativas
Comentários

  • ERRADO.  ERRO:  "é suficiente"

    Segundo o documento da OWASP,TOP 10-2013,"Evitar XSS requer a separação do dado não-confiável do conteúdo ativo no navegador.
    1.A opção apropriada é filtrar adequadamente todos os dados não-confiáveis com base no contexto HTML (corpo, atributo, JavaScript, CSS ou URL) no qual os dados serão colocados. Veja o OWASP XSS Prevention Cheat Sheet para detalhes sobre os requisitos das técnicas de filtro de dados.

    ___________________

    2.“Lista branca" ou validação de entrada positiva também é recomendada pois ajuda a proteger contra XSS, mas não é uma defesa completa, já que muitas aplicações requerem caracteres especiais em sua entrada. Tal validação deve, tanto quanto possível, validar o tamanho, caracteres, formato, e as regras de negócio sobre os dados antes de aceitar a entrada.

    ____________________
    3.Para conteúdo rico considere bibliotecas de auto-sanitização como OWASP's AntiSamy ou o Java HTML Sanitizer Project.

    ____________________
    4.Considere a Content Security Policy (CSP) para se defender contra XSS em todo o seu site."

  • Viu "suficiente", é probabilidade de 99% de a afirmativa ser falsa.

  • Fonte de consulta

    https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf

  • ERRADO

    Porque o XSS age em XML e também em HTML logo não adiantaria .

  • Gabarito: Errado.

    O ataque pode ocorrer explorando o Javascript, HTML, CSS, entre outras tecnologias. Desativando apenas o XML não resolve.

  • ERRADO!

    A vulnerabilidade conhecida como Cross Site Scripting (XSS) ou execução de comandos em sites cruzados

    Em primeiro lugar, é importante ter em conta que com essa vulnerabilidade, os atacantes aproveitam a confiança que existe entre um usuário e um site em particular,

    Esse tipo de vulnerabilidade pode ser explorada de duas maneiras: de forma refletida e de forma persistente. A seguir, farei uma breve explicação sobre cada uma delas.

    • Refletida

    Consiste em modificar valores que o aplicativo web usa para enviar variáveis entre duas páginas. Um clássico exemplo disso é fazer com que através de um buscador seja executada uma mensagem de alerta em JavaScript. Com o XSS refletido, o atacante pode roubar as cookies para, em seguida, também roubar a identidade, mas para isso, deve fazer com que a vítima execute um determinado comando dentro do endereço web.

    • Persistente

    Consiste em inserir um perigoso código HTML (programação web) em sites e, desse modo, se tornar visível para os usuários que acessem ao site modificado.

    Fonte: https://www.welivesecurity.com/br/2017/07/07/vulnerabilidade-cross-site-scripting/

  • É SUFICIENTE DESCONECTAR O RJ45

  • Para bloquear um ataque de XSS (cross-site script) a uma aplicação web, é suficiente desativar o suporte a XML no navegador do usuário.

    Em termo de segurança na internet, a única alternativa quase suficiente é desconectar o RJ-45.

  • Gabarito: errado

    Complementando:

    O Cross-Site Request Forgery (CSRF) é uma classe de ataques que explora a relação de confiança entre um aplicativo web e seu usuário legítimo. Para execução do CSRF, o usuário mal intencionado deve induzir o utilizador legítimo, seja por meio de engenharia social ou outros artifícios como cross-site scripting, a executar atividades arbitrárias no aplicativo, permitindo que virtualmente qualquer ação específica possa ser realizada no sistema sem o consentimento do usuário final.