SóProvas

ID
3044152
Banca
FCC
Órgão
TRF - 4ª REGIÃO
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Considere a situação apresentada a seguir.


1. Maria frequentemente visita um site que é hospedado pela empresa E. O site da empresa E permite que Maria faça login com credenciais de usuário/senha e armazene informações confidenciais, como informações de processos judiciais.

2. João observa que o site da empresa E contém uma determinada vulnerabilidade.

3. João cria um URL para explorar a vulnerabilidade e envia um e-mail para Maria, fazendo com que pareça ter vindo da empresa E.

4. Maria visita o URL fornecido por João enquanto está logada no site da empresa E.

5. O script malicioso incorporado no URL é executado no navegador de Maria, como se viesse diretamente do servidor da empresa E. O script rouba informações confidenciais (credenciais de autenticação, informações de processos etc.) e as envia para o servidor da web de João sem o conhecimento de Maria.


Um Analista de Infraestrutura conclui, corretamente, que

Alternativas
Comentários

  • 3. João cria um URL para explorar a vulnerabilidade e envia um e-mail para Maria, fazendo com que pareça ter vindo da empresa[...]

    Maria foi vítima de e-mail spoofing que é um tipo de falsificação tecnológica que procura enganar uma rede ou uma pessoa fazendo-a acreditar que a fonte de uma informação é confiável, quando a realidade é bem diferente. 

    https://www.avast.com/pt-br/c-spoofing

     

     

    5. O script malicioso incorporado no URL é executado no navegador de Maria, como se viesse diretamente do servidor da empresa E. O scriptrouba informações confidenciais (credenciais de autenticação, informações de processos etc.) e as envia para o servidor da web de João sem o conhecimento de Maria.

    João lançou um ataque XSS. 

    É uma vulnerabilidade em sites web que permite que um indivíduo execute código Javascript no site alvo no contexto do usuário e, dessa forma, pode roubar credenciais de acesso ou até executar comandos em nome do administrador

     

     

    Analisando provas de TI na íntegra

    https://www.youtube.com/watch?v=tblCbdPECh0

    https://www.youtube.com/watch?v=y21NAFmnGbA

     

     

  • O ataque de Cross-site scripting (XSS) consiste em uma vulnerabilidade causada pela falha nas validações dos parâmetros de entrada do usuário e resposta do servidor na aplicação web. Este ataque permite que código HTML seja inserido de maneira arbitrária no navegador do usuário alvo.

  • Complementando...

     

    Ataques de execução de script entre sites (Cross-Site Scriting - XSS) são comuns em aplicações web em linguagem de script, envolve a inclusão de código script no conteúdo HTML de uma página Web exibida pelo navegador de um usuário, nesse caso, Maria.

     

    .: Obs: Não necessariamente o código script será escrito em JavaScript, mas também em ActiveX, VBScript, Flash, por exemplo.

    .

    .

    At.te

    Foco na missão 

  • Assertiva C

    Maria foi vítima de e-mail spoofing e João lançou um ataque XSS.

    Show!!!

  • Muito boa essa questão.

    Gab. letra C

    Maria foi vítima da técnica de spoofing que explora a autenticação com base no endereço, o atacante(João) utilizou um endereço de origem falso. (2013/CESPE)

    •   Spoof é fingir ou falsificar.
    •   Forjar endereços MAC, ARP e IP falsos.
    •   Atenção, não confundir: o spoofing NÃO analisa o tráfego da rede. Quem analisa o tráfego da rede é o sniffer.

    João utilizou a técnica de XSS (cross-site script), que permite que um atacante insira código malicioso em páginas web, de forma a redirecionar, por exemplo, uma resposta a um local controlado pelo atacante.