SóProvas

ID
2768020
Banca
FAURGS
Órgão
TJ-RS
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Que tipo de ataque malicioso a um site web se caracteriza pelo envio de comandos não autorizados por parte de um usuário em que esse site confia?

Alternativas
Comentários

  • CSRF (Cross-Site Request Forgery).

    Às vezes também chamado de XSRF, Sea-Surf e Riging Session. É um ataque que obriga o usuário final a executar ações indesejadas em uma aplicação em que ele se encontra autenticado. Apesar de ter um impacto semelhante ao do XSS, o CSRF não é uma injeção de código, mas ism uma manipulação nos parâmetros que são trafegados na requisição , ou seja, uma requisição forjada. Apesar de, na prática, ser uma fraude , ele é executado fora dos domínios da aplicação.

    O CSRF herda a identidade e os privilégios da vítima para realizar uma operação indesejada em nome do usuário final.

     

    Fonte: Exploração de Vulnerabilidades em Redes TCP/IP - 3ª Edição Revisada e Ampliada -  Sandro Melo

  • CSRF (Cross-Site Request Forgery) tira proveito da confiança que o site tem no usuário. É um tipo de ataque malicioso a um website no qual comandos não autorizados são transmitidos através de um utilizador em quem o website confia.

     

    Força a vítima, que possui uma sessão ativa em um navegador, a enviar uma requisição HTTP forjada, incluindo o cookie da sessão da vítima e qualquer outra informação de autenticação incluída na sessão, a uma aplicação web vulnerável. Esta falha permite ao atacante forçar o navegador da vítima a criar requisições que a aplicação vulnerável aceite como requisições legítimas realizadas pela vítima.

     

    CSS/XSS tira proveito da confiança que o usuário tem no site.

     

    Ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima. Esses scripts podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos. 

  • Pessoal, o CSRF explora a confiança do servidor no usuário enquanto que o XSS/CSS explora a confiança do usuário no servidor...

  • Cross Site Request Forgery (CSRF)

    - Após a autenticação, os arquivos de sessão (cookies) são capturados pelo atacante.

    - O atacante insere requisições em uma sessão aberta pelo usuário.

    - Explora a confiança do servidor no navegador (cliente/browser).

    Cross-site scripting (CSS OU XSS)

    - Ameaça que consiste na injeção de códigos maliciosos script (JavaScript ou VBScript) em um campo texto de uma página já existente, que o usuário confia.

    Alternativa: A

  • Gab. letra A

    Um ataque do tipo CSRF (cross-site request forgery) permite que um usuário final execute ações não desejáveis em uma aplicação web falha. Consiste em inserir requisições em uma sessão já aberta pelo usuário, explorando a confiança que um site tem do navegador.  

    Em contraste ao cross-site scripting (XSS), que explora a confiança de um utilizador para um site particular, o CSRF explora a confiança que um website tem do navegador do usuário.

  • CSRF, o usuário precisa estar autenticado. = ocorre quando um usuário executa um conteúdo malicioso sem se dar conta O atacante malicioso fornece um link para vítima clicar, através de um comentário dentro do portal, por exemplo, contendo dentre os parâmetros, informações sobre o próprio usuário, como identificação de cookie. Uma vez clicado pelo usuário, essas informações são direcionadas a um BD do atacante. Sendo assim, o atacante forja uma requisição com identificador do cookie a fim de se comunicar sessão criada pela vítima. Essa operação precisa ser instantânea, a fim de a sessão da vítima não cair