SóProvas

ID
2852812
Banca
CESPE / CEBRASPE
Órgão
BNB
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança no desenvolvimento de aplicações, julgue o item que segue.


A vulnerabilidade denominada CSRF (cross site request forgery) ocorre quando sítios web externos forçam o navegador do cliente a realizar um pedido involuntário para uma aplicação em que o cliente possui uma sessão ativa.

Alternativas
Comentários

  •  Em contraste com o cross-site scripting (XSS), que explora a confiança de um navegador do usuário para um website, o CSRF explora a confiança que um website tem do navegador do usuário.

  • http://blog.caelum.com.br/protegendo-sua-aplicacao-web-contra-cross-site-request-forgerycsrf/

  • O Cross-Site Request Forgery (CSRF) é uma classe de ataques que explora a relação de confiança entre um aplicativo  web e seu usuário legítimo. Para execução do CSRF, o usuário mal intencionado deve induzir o utilizador legítimo, seja por meio de engenharia social ou outros artifícios como cross-site scripting, a executar atividades arbitrárias no aplicativo, permitindo que virtualmente qualquer ação específica possa ser realizada no sistema sem o consentimento do usuário final.

     

    A exploração do CSRF se dá por meio de aplicativos vulneráveis que não possuem controles específicos para garantir que todas as comunicações com o usuário legítimo sejam feitas dentro de um mesmo contexto, ou seja, utilizando um fluxo lógico de execução. Um bom exemplo seria a execução de uma transação de movimentação financeira de créditos para uma nova titularidade (usuário), sem que a tela para captura dos dados de origem e destino seja solicitada pelo usuário (vítima do ataque).

    O alvo do atacante geralmente são as transações valiosas e mais comuns nos sistemas de aplicativos web, tais como:

    Alteração de e-mail ou dados pessoais;

    Alteração de senha de acesso;

    Movimentações financeiras ou compras on-line.

     

     

    GABARITO: CORRETO.

    Fonte: http://www.redesegura.com.br

  • Gabarito Certo para os não assinantes.

    cross-site request forgery (XFRF ou CSRF): é um método de atacar um site da web em que um intruso se mascara em um legítimo e confiável usuário. Um ataque XFRF pode ser usado para modificar as configurações do firewall, postar dados sem autorização em um fórum,ou conduzir transações financeiras fraudulentas.

    http://www.guiaup.net/2015/05/o-que-e-csrf.html

  • Isso não seria uma ameaça, em vez de uma vulnerabilidade?

  • Assertiva C

    A vulnerabilidade denominada CSRF (cross site request forgery) ocorre quando sítios web externos forçam o navegador do cliente a realizar um pedido involuntário para uma aplicação em que o cliente possui uma sessão ativa.

  • cross site request forgery --> falsificação de solicitação entre sites

  • Gabarito: Certo.

    CSRF: Consiste em inserir requisições em uma sessão já aberta pelo usuário, explorando a confiança que um site tem do navegador. Atua após a obtenção do cookie gerado pela aplicação após a autenticação. Por meio do cookie, o servidor acredita estar se comunicando com o usuário real e autenticado. Pode ser inibido por captcha. 

    Diferença entre CSS/XSS e CSRF:

    CSS/XSS tira proveito da confiança que o usuário tem no site. Explora o usuário/navegador.

    CSRF tira proveito da confiança que o site tem no usuário. Explora o site/sessão

  • O ataque CSRF ocorre quando o atacante se passa pelo cliente, já com acesso ao servidor.