SóProvas


ID
2799529
Banca
CESPE / CEBRASPE
Órgão
Polícia Federal
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de Internet, intranet e tecnologias e procedimentos a elas associados, julgue o item a seguir.


Uma proteção nos navegadores de Internet é direcionada para combater vulnerabilidades do tipo XSS (cross-site scripting) e evitar ataques maliciosos.

Alternativas
Comentários
  • Esquisito, pois, quando se trata de segurança de computadores, nada pode evitar ataques maliciosos!

  • Thiago, a finalidade da proteção é evitar o ataque, assim como a finalidade do Airbag é salvar vidas.. é uma coisa que pode ou não der certo..
  • Gab.: CERTO

    Para quem não sabe o que é um ataque do tipo XSS, vou explicar: basicamente, qualquer ameaça cross-site se aproveita da confiança que o usuário tem no navegador web ou num site específico. Então, sites que não têm um controle efetivo para garantir a segurança dos dados dos usuários, normalmente, são suscetíveis a ataques do tipo XSS.

    Entendendo melhor: De um lado tem-se o servidor do site de um banco que é vulnerável a ataques XSS; do outro, um atacante que insere um código malicioso no script desse site; e do outro lado, a vítima. Quando a vítima acessa essa página, automaticamente, é redirecionada para outro site exatamente igual ao do seu banco, porém ao disponibilizar suas informações pessoais, acaba fazendo isso numa plataforma clonada, logo, o cibercriminoso tem acesso aos seus dados.

    Para evitar esse tipo de ataque, os navegadores conseguem identificar e bloquear esses scripts nos sites proativamente, mas claro que, como o colega disse, pode ou não dar certo. Por isso é sempre bom manter o firewall e o antivírus da máquina sempre ativo e atualizado.

    Bjs da tia.

  • Cross-site Scripting (XSS) é um tipo de ataque de injeção de código malicioso em aplicações web, classificado entre as principais vulnerabilidades no OWASP Top 10 2017. Por exemplo, um atacante aproveita uma dada vulnerabilidade em um website considerado confiável pelos seus visitantes para instalar um script que irá executar ações maliciosas como copiar cookies, tokens ou roubar dados de acesso registrados no navegador web do usuário.

     

     

    GABARITO: CERTO

    Fonte:https://www.blockbit.com

  • Thiago PF/PRF, Evitar é possível.

    Esse termo tem significado de "dificultar" ou "obstaculizar" o ataque, porém não garante que o ataque será frustrado.

  • Ataques de Cross Site Scripting é um ataque no qual uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos. Por ser um ataque de navegador web, eles costumam possuir proteção para tal tipo de incursão, desenvolvidos pelos próprios fabricantes dos navegadores.
  • Ataques de Cross Site Scripting é um ataque no qual uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos. Por ser um ataque de navegador web, eles costumam possuir proteção para tal tipo de incursão, desenvolvidos pelos próprios fabricantes dos navegadores.
  • Ataques de Cross Site Scripting é um ataque no qual uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos. Por ser um ataque de navegador web, eles costumam possuir proteção para tal tipo de incursão, desenvolvidos pelos próprios fabricantes dos navegadores.
  • Ataques de Cross Site Scripting é um ataque no qual uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos. Por ser um ataque de navegador web, eles costumam possuir proteção para tal tipo de incursão, desenvolvidos pelos próprios fabricantes dos navegadores.
  • Ataques de Cross Site Scripting é um ataque no qual uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos. Por ser um ataque de navegador web, eles costumam possuir proteção para tal tipo de incursão, desenvolvidos pelos próprios fabricantes dos navegadores.
  • Ataques de Cross Site Scripting é um ataque no qual uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos. Por ser um ataque de navegador web, eles costumam possuir proteção para tal tipo de incursão, desenvolvidos pelos próprios fabricantes dos navegadores.
  • Ataques de Cross Site Scripting é um ataque no qual uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos. Por ser um ataque de navegador web, eles costumam possuir proteção para tal tipo de incursão, desenvolvidos pelos próprios fabricantes dos navegadores.
  • Ataques de Cross Site Scripting é um ataque no qual uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos. Por ser um ataque de navegador web, eles costumam possuir proteção para tal tipo de incursão, desenvolvidos pelos próprios fabricantes dos navegadores.
  • Ataques de Cross Site Scripting é um ataque no qual uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos. Por ser um ataque de navegador web, eles costumam possuir proteção para tal tipo de incursão, desenvolvidos pelos próprios fabricantes dos navegadores.
  • Ataques de Cross Site Scripting é um ataque no qual uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos. Por ser um ataque de navegador web, eles costumam possuir proteção para tal tipo de incursão, desenvolvidos pelos próprios fabricantes dos navegadores.
  • Ataques de Cross Site Scripting é um ataque no qual uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos. Por ser um ataque de navegador web, eles costumam possuir proteção para tal tipo de incursão, desenvolvidos pelos próprios fabricantes dos navegadores.
  • Ataques de Cross Site Scripting é um ataque no qual uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos. Por ser um ataque de navegador web, eles costumam possuir proteção para tal tipo de incursão, desenvolvidos pelos próprios fabricantes dos navegadores.
  • Gabarito certo para os não assinantes..

    Cross-site scripting (XSS) é um tipo de vulnerabilidade de sites por meio da qual um atacante é capaz de inserir scripts maliciosos em páginas e aplicativos que seriam confiáveis e usá-los para instalar malwares nos navegadores dos usuários. Com XSS, os hackers não têm como alvo usuários específicos, em vez disso disseminando o malware para inúmeras pessoas.

    Os ataques de XSS visam o código (também chamado de script) de uma página da web que é executado no navegador do usuário, ao invés de no servidor. Quando você sofre um ataque, ocorre uma tentativa de inserir scripts maliciosos em seu navegador. Esses scripts tentarão danificar seu computador. Praticamente não há limites para a variedade de ataques de XSS. Contudo, a maioria tem como objetivo coletar dados pessoais, redirecionar as vítimas para sites controlados pelo hacker ou fazer com que seu PC execute operações comandadas pelo atacante.

    Como evitar um ataque de XSS:

    ►Instale um antivírus conceituado no seu computador

    ►Ative a atualização automática dos seus aplicativos

    ►Baixe uma ferramenta capaz de verificar vulnerabilidades no código de um site

    Para saber mais, visite o site abaixo

    https://www.avast.com/pt-br/c-xss

  • O comentário da "Tia Carmem" está descrevendo na verdade um ataque Phishing. O comentário da Danielle está correto.

  • GAB - CERTO

    O Ataque XSS/CSS - é baseado em induzir o navegador web a executar um script malicioso dentro do contexto de um site confiável.

  • CERTO

    Ataques de Cross Site Scripting é um ataque no qual uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos.

    Por ser um ataque de navegador web, eles costumam possuir proteção para tal tipo de incursão, desenvolvidos pelos próprios fabricantes dos navegadores.

    Fonte: Direção Concursos

    Professor: Victor Dalton

  • Cross-site scripting (XSS) é uma vulnerabilidade que explora a falta de verificação de dados de entrada e saída da aplicação Web. XSS permite aos atacantes executarem scripts no navegador da vítima, permitindo roubar sessões de usuário, pichar sites Web, ou redirecionar o usuário para sites maliciosos. O ataque é feito através da injeção de tags HTML e/ou código Javascript pela entrada de dados da própria aplicação.

    Para evitar a ação desta vulnerabilidade deve-se:

    - Utilizar um bom programa antivírus;

    - Ativar a atualização automática dos aplicativos;

    - Utilizar alguma ferramenta que seja capaz de verificar vulnerabilidades no código de um site. 

     

    Ao utilizar antivírus ou outra ferramenta que permita verificar vulnerabilidades no código dos sites visitados, estaremos utilizando proteções nos navegadores direcionadas ao combate da vulnerabilidade XSS.

     

    Assim sendo, O ITEM ESTÁ CERTO.

    Fonte: TECCONCURSOS

  • XSS permite aos atacantes executarem scripts no navegador da vítima, permitindo roubar sessões de usuário, pichar sites Web, ou redirecionar o usuário para sites maliciosos. O ataque é feito através da injeção de tags HTML e/ou código Javascript pela entrada de dados da própria aplicação.

  • Gabarito: Certo.

    Cross Site Scripting (CSS/XSS): É um tipo de ataque que é baseado nas vulnerabilidades de aplicações web. Os atacantes conseguem injetar scripts maliciosos no lado do cliente, de forma a burlar as proteções que normalmente estão embutidas nos browsers. Ataque baseado em induzir o navegador web do usuário a executar um script malicioso dentro do contexto de um site confiável. A exploração bem sucedida deste permite ao hacker embutir um código malicioso (na forma de JavaScript, geralmente) em campos de entrada, os quais serão inseridos de volta para a resposta do servidor.

  • Simples e restritivo assim? Pqp..

  • Para complementar o conhecimento, gostaria de deixar abaixo algumas outras ameaças que verifiquei no site do Avast:

    EXPLOIT: Um exploit é um ataque que se aproveita de vulnerabilidades em aplicativos, redes, sistemas operacionais ou hardwares. Exploits geralmente são um software ou código que tem como objetivo assumir o controle de computadores ou roubar dados de rede. Um exploit é apenas uma ferramenta criada para aproveitar uma vulnerabilidade específica.

    MELTDOWN E SPECTRE: são vulnerabilidades de hardware criadas por acidente durante o desenvolvimento de CPUs (Unidade Central de Processamento). Elas afetam o processador de quase todos os computadores de hoje. Cibercriminosos pode explorar essas vulnerabilidades para lerem a “mente” do processador enquanto ele “pensa”. Isso possibilita o roubo de dados privados, como senhas, informações bancárias, fotos, documentos sigilosos, entre outras coisas.

    DOXXING (ou doxing): é a prática de descobrir informações pessoais sigilosas de uma pessoa e divulgá-las online. Hackers usam o doxxing para ameaçar, assediar ou se vingar de uma pessoa online. 

    CRYPTOJACKING: em navegadores é um truque muito usado, porque lança mão de códigos em JavaScript para implementar uma mineração em uma máquina que visita um site infectado

    Cross-site scripting (XSS) é um tipo de vulnerabilidade de sites por meio da qual um atacante é capaz de inserir scripts maliciosos em páginas e aplicativos que seriam confiáveis e usá-los para instalar malwares nos navegadores dos usuários. 

    INJEÇÃO DE SQL: é um ataque a um site ou aplicativo web no qual é inserido um código da linguagem Structured Query Language (SQL) em uma caixa de texto com o objetivo de obter acesso a uma conta ou alterar dados.

    Dia zero: Quando um fabricante de software lança um produto que possui um problema de segurança desconhecido tanto por ele quanto pelas empresas de antivírus, essa vulnerabilidade é chamada de dia zero.

  • Prezados,

    Os navegadores hoje em dia possuem muitas proteções, uma delas é contra o XSS. O XSS é um tipo de vulnerabilidade onde alguma aplicação web tenta utilizar um ataque malicioso de inserção de script do lado do cliente nas páginas visitadas. No EDGE essa proteção se chama XSS Filter, e no Chrome se chama XSS Auditor. Algumas dessas proteções hoje não estão ativas, mas na época da questão elas estavam.

    A proteção contra XSS pode ser feita também no header da página.



    Portanto a questão está correta.


    Gabarito do Professor: CERTO.
  • Mais de 2 anos após a prova e até hoje não tem comentário do professor!

  • Uma proteção nos navegadores de Internet é direcionada para combater vulnerabilidades do tipo XSS (cross-site scripting) e evitar ataques maliciosos.

    não é direcionada somente para o XXS , e sim para todos os ataques , por isso tem os graus de anti virus

    para mim Gabarito E

  • Xss - (Cross site Scripting) - é um ataque de injeção de código malicioso em aplicações web.

    Existem três tipos de ataques de injeção de script:

    Persistente: O script injetado pelo atacante fica alojado de forma permanente no servidor de destino. O usuário pode acionar a carga apenas por navegar num website infectado; portanto, qualquer usuário pode executar o código malicioso sem nenhuma ação específica. Esse é um tipo bastante perigoso de ataque, pois o código pode estar alojado em diversos destinos, como campos de comentário, base de dados etc.

    Não persistente/Refletido: Neste caso, o script não estará alojado em um servidor de destino e por isso precisará ser entregue para cada vítima. Isso pode acontecer por várias formas de engenharia social, por exemplo uma mensagem de erro ou um resultado de busca. Uma forma frequente será um link distribuído por meio de esquemas de phishing. Ao acionar o servidor, por meio do link, o script será refletido e executado no navegador. Esta técnica é a mais frequente.

    Baseado em DOM: O terceiro tipo de ataque XSS explora o Document Object Model (DOM), que é a interface que define a leitura de HTML e XML no navegador. O script é capaz de alterar as propriedades das aplicações que executam estes tipos de extensões diretamente no navegador, portanto sem necessidade de interação com o servidor para performar o ataque. Neste caso, a falha está na validação do código HTML ou XML no navegador.

    FONTE: Blockbit.com

  • Ataques de Cross Site Scripting é um ataque no qual uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos.

    Por ser um ataque de navegador web, eles costumam possuir proteção para tal tipo de incursão, desenvolvidos pelos próprios fabricantes dos navegadores.

    Victor Dalton | Direção Concursos

  • só sem mãe nos comentários postando texto.
  • quanto mais estudo informatica menos sei da materia tnc.

  • CERTO

    XSS/CSS (Cross Site Scripting) é um ataque baseado em induzir o navegador web do usuário a executar um script malicioso dentro do contexto de um site confiável.

    Logo, os navegadores devem possuir proteção contra esses ataques XSS.

  • Cross-Site Scripting -

    • XSS: é um ataque no qual uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados.
    • Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos.