SóProvas

ID
3191113
Banca
COMPERVE
Órgão
UFRN
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Em Segurança Web, é bastante comum confundir o ataque de XSS (Cross-site Scripting) com o ataque de CSRF (Cross-site Request Forgery).

A diferença entre esses ataques está na

Alternativas
Comentários

  • Bem simples:

    XSS - no script no navegador

    CSRF - altera requisição que vai ao servidor, para tentar receber uma resposta diferente. Se utiliza de Get e Posts para testar a aplicação web.

  • Assertiva C

    maneira de executar o payload: o XSS utiliza um script no navegador web, enquanto o CSRF utiliza qualquer solicitação que execute um verbo HTTP GET ou POST para completar alguma ação válida na aplicação web.

  • Cross Site Request Forgery (CSRF)

    - Após a autenticação, os arquivos de sessão (cookies) são capturados pelo atacante.

    - Ameaça que consiste na confiança que um site tem no navegador (cliente).

    - Explora a confiança do servidor no navegador (cliente/browser).

    - Atacante insere requisições

    Cross-site scripting (CSS OU XSS)

    - Ameaça que consiste na injeção de códigos maliciosos script (JavaScript ou VBScript) em um campo texto de uma página já existente, que o usuário confia.

    - Explora a confiança do cliente no servidor.

    Ex.: simular a página de login do site, capturar os valores digitados e enviá-los a um site que os armazene.

    Alternativa: C

  • Letra C

    O XSS é uma exploração de confiança do usuário.. Ou seja, o cara vai lá de boa fé acessar o site, mas o navegador está com script

    Já o CSRF é a exploração de confiança do usuário com o servidor.. Ou seja, aqui o site vai lá de boa fé atender a requisição do usuário, mas neste caso, o responsável pelo ataque está usando o usuário para enviar solicitações ao site..

    É igual quando você queria posar na casa do seu amigo e mandava seu amigo pedir pra sua mãe.. Você (atacante) estava usando ele (usuário de boa fé) para sua mãe (site) achar que o pedido está vindo dele, mas na verdade está vindo de você

  • XSS = o XSS normalmente tem como alvo não o aplicativo em si, mas outros usuários do aplicativo vulnerável. Por exemplo, um usuário malicioso pode postar uma mensagem com conteúdo executável em um recurso ulivro de visitas" de um aplicativo web. Quando outro usuário vê essa mensagem, o navegador interpreta o código e o executa, potencialmente dando ao invasor controle completo sobre o sistema do segundo usuário.

    CSRF = O conceito por trás da CSRF é simples: os aplicativos web fornecem aos usuários sessões autenticadas persistentes; portanto, eles não precisam se autenticar novamente a cada vez que solicitam uma página. No entanto, se um invasor puder convencer o navegador web do usuário a enviar um pedido para o site, poderá tirar proveito da sessão persistente para executar ações como se fosse a vítima.

    GAB C

    Hackers Expostos.