-
ERRADO. ERRO: "é suficiente"
Segundo o documento da OWASP,TOP 10-2013,"Evitar XSS requer a separação do dado não-confiável do conteúdo ativo no navegador.
1.A opção apropriada é filtrar adequadamente todos os dados não-confiáveis com base no contexto HTML (corpo, atributo, JavaScript, CSS ou URL) no qual os dados serão colocados. Veja o OWASP XSS Prevention Cheat Sheet para detalhes sobre os requisitos das técnicas de filtro de dados.
___________________
2.“Lista branca" ou validação de entrada positiva também é recomendada pois ajuda a proteger contra XSS, mas não é uma defesa completa, já que muitas aplicações requerem caracteres especiais em sua entrada. Tal validação deve, tanto quanto possível, validar o tamanho, caracteres, formato, e as regras de negócio sobre os dados antes de aceitar a entrada.
____________________
3.Para conteúdo rico considere bibliotecas de auto-sanitização como OWASP's AntiSamy ou o Java HTML Sanitizer Project.
____________________
4.Considere a Content Security Policy (CSP) para se defender contra XSS em todo o seu site."
-
Viu "suficiente", é probabilidade de 99% de a afirmativa ser falsa.
-
Fonte de consulta
https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf
-
ERRADO
Porque o XSS age em XML e também em HTML logo não adiantaria .
-
Gabarito: Errado.
O ataque pode ocorrer explorando o Javascript, HTML, CSS, entre outras tecnologias. Desativando apenas o XML não resolve.
-
ERRADO!
A vulnerabilidade conhecida como Cross Site Scripting (XSS) ou execução de comandos em sites cruzados
Em primeiro lugar, é importante ter em conta que com essa vulnerabilidade, os atacantes aproveitam a confiança que existe entre um usuário e um site em particular,
Esse tipo de vulnerabilidade pode ser explorada de duas maneiras: de forma refletida e de forma persistente. A seguir, farei uma breve explicação sobre cada uma delas.
Consiste em modificar valores que o aplicativo web usa para enviar variáveis entre duas páginas. Um clássico exemplo disso é fazer com que através de um buscador seja executada uma mensagem de alerta em JavaScript. Com o XSS refletido, o atacante pode roubar as cookies para, em seguida, também roubar a identidade, mas para isso, deve fazer com que a vítima execute um determinado comando dentro do endereço web.
Consiste em inserir um perigoso código HTML (programação web) em sites e, desse modo, se tornar visível para os usuários que acessem ao site modificado.
Fonte: https://www.welivesecurity.com/br/2017/07/07/vulnerabilidade-cross-site-scripting/
-
É SUFICIENTE DESCONECTAR O RJ45
-
Para bloquear um ataque de XSS (cross-site script) a uma aplicação web, é suficiente desativar o suporte a XML no navegador do usuário.
Em termo de segurança na internet, a única alternativa quase suficiente é desconectar o RJ-45.
-
Gabarito: errado
Complementando:
O Cross-Site Request Forgery (CSRF) é uma classe de ataques que explora a relação de confiança entre um aplicativo web e seu usuário legítimo. Para execução do CSRF, o usuário mal intencionado deve induzir o utilizador legítimo, seja por meio de engenharia social ou outros artifícios como cross-site scripting, a executar atividades arbitrárias no aplicativo, permitindo que virtualmente qualquer ação específica possa ser realizada no sistema sem o consentimento do usuário final.