-
A questão se refere a:
Referência Insegura Direta à Objetos
Uma referência direta à objeto ocorre quando um desenvolvedor expõe a referência a um objeto implementado internamente, como é o caso de arquivos, diretórios, registros da base de dados ou chaves, na forma de uma URL ou parâmetro de formulário. Os atacantes podem manipular estas referências para acessar outros objetos sem autorização.
-
Alterar o método para POST não resolveria o problema pois o usuário de qualquer forma poderia alterar os valores do formulário diretamente no código. Também seria possível criar uma requisição POST manualmente utilizando algum software tipo o POSTMAN e enviar para o servidor.
Uma solução poderia ser verificar a sessão do usuário que está fazendo a requisição para checar se ele tem privilégios para tal requisição. Uma outra alternativa seria utilizar tokens (JWT por exemplo).
-
Essa situação ilustra um problema de cross-site scripting (XSS)? correto isso?
-
Segundo a OWASP, o nome desse ataque é "Web Parameter Tampering", que é a manipulação de query string ou dados armazenados em cookies. Já no caso do XSS, o atacante injeta um código em uma página confiável para atingir uma terceira pessoa.
https://www.owasp.org/index.php/Web_Parameter_Tampering
-
ERRADO
mudou a URL manualmente => Referência Insegura Direta à Objetos
https://pt.slideshare.net/lucams/referncia-insegura-direta-a-objeto
-
RESUMINDO,O OUTRO EMPREGADO FOI LERDO. DEIXOU SEUS DADOS A MOSTRA. RSRS
ISSO QUE ENTENDI.....
-
O conceito de XSS/CSS não é esse... Além disso podemos afirmar que esse empregado não teria esse trabalhão para acessar o contracheque de seus colegas se fosse servidor público pois teria acesso fácil a essa informação no portal da transparência...
-
ERRADO
A questão fala de:
Referência Insegura Direta à Objetos: quando o atacante manipula uma URL ou parâmetro de formulário para acessar outros objetos sem autorização.
Sobre o XSS...
Ataque XSS (Cross-site Scripting): induz navegador a executar script malicioso em site confiável.
-
GABARITO: ERRADO.
-
em resumo o que um XSS
•faz uso da vulnerabilidade de um website confiável , no qual eles copiam os cookies, tokens ou roubam dados de acesso registrados no navegador web do usuário
•nesse ataque o usuário precisa estar autenticado
•Falsificação de Solicitação,
1° enganar a vítima para clicar em um link
2° parte ele enviar uma solicitação criada no navegador da vítima, que enviará uma solicitação legítima para o aplicativo da web.
-
Acho que dá para esboçar o caso assim:
antes
User: Usuário.
Senha: *** <input type="password" placeholder="Senha" name="senha" id="senha">
Depois
User: Usuário.
Senha: 123 <input type="caractere" placeholder="Senha" name="senha" id="senha">
-
Cross-site scripting (XSS) é um tipo de vulnerabilidade de sites por meio da qual um atacante é capaz de inserir scripts maliciosos em páginas e aplicativos que seriam confiáveis e usá-los para instalar malwares nos navegadores dos usuários.