Em um ataque de execução (ataque de injeção) de script entre sites (XSS), as entradas de dados de um programa interferem no fluxo de execução desse mesmo programa.
CESPE - JUSTIFICATIVA: ERRADO. O item descreve um ataque de injeção e não um ataque de execução. O nome ataque de injeção refere-se a uma variedade de falhas de programa relacionadas com o tratamento incorreto de dados de entrada. Especificamente, esse problema ocorre quando a entrada de dados de programa pode influenciar acidental ou deliberadamente o fluxo de execução do programa.Outra classe geral de vulnerabilidades refere-se a entradas fornecidas por um usuário a um programa que, subsequentemente, fornece como saída a entrada para outro usuário. Tais ataques são conhecidos como ataques de execução de script entre sites (cross-site scripting — XSS6), porque são mais comumente vistos em aplicações web escritas em linguagem de script.
O XSS (Cross Site Scripting) é um ataque que pode ser feito na sua forma refletida (Reflected) ou sua forma persistente (Stored).
Trata-se da injeção de um código dentro da tag script (Stored XSS) em algum campo de input da aplicação (geralmente campos de comentários).
<script> código aqui </script>
Ao efetuar o comentário, a aplicação que contém uma falha de segurança (tratamento incorreto dos dados de entrada) salva o comentário com o código malicioso normalmente.
Diante disso, não é o ataque XSS quem executa o script, ele apenas injeta o código malicioso no servidor e este o executa no momento que há a requisição da página afetada.
Em um ataque de injeção de script entre sites (XSS), as entradas de dados de um programa interferem no fluxo de execução desse mesmo programa.
GABARITO: ERRADO.
Fonte: tecconcursos