Questão Q279154

Question

Um ataque CSS (cross-site scripting) permite que conteúdos scripts em uma zona sem privilégio sejam executados com permissão de uma zona privilegiada, ou seja, que se alterem os privilégios no cliente (web browser) ao se executar o script.

Answer

Cross Scripting (ataque de CSS): consiste em explorar falhas de aplicações web para inserir nessas aplicações determinados tipos de códigos que serão executados no lado cliente.

Answer

Segundo o GUIA OWASP,"A3 -Cross-Site Scripting(XSS): Falhas XSS ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. XSS permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites, ou redirecionar o usuário para sites maliciosos."

Bibliografia:

GUIA OWASP top 10- 2013- Os dez riscos de segurança mais críticos em aplicações Web

Bibliografia:

GUIA OWASP top 10- 2013- Os dez riscos de segurança mais críticos em aplicações Web

Answer

Gabarito Certo

Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que activam ataques maliciosos ao injectarem client-side script dentro das páginas web vistas por outros usuários. Um script de exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controles de acesso que usam a política de mesma origem.

Através de um XSS, o hacker injeta códigos JavaScript em um campo texto de uma página já existente e este JavaScript é apresentado para outros usuários, porque persiste na página.

Exemplo de ataque: Imaginem que o cracker insira, em um fórum de um website alvo de ataque, um texto que contenha um trecho de JavaScript. Este JavaScript poderia, por exemplo, simular a página de login do site, capturar os valores digitados e enviá-los a um site que os armazene.

Quando o texto do fórum for apresentado a outros usuários, um site atacado pelo XSS exibirá o trecho de JavaScript digitado anteriormente nos browsers de todos os outros usuários, provocando a brecha de ataque.

O invasor envia um script para o servidor:

Answer

Ataque de CSS???

Answer

ACERTIVA CORRETA!

Ataque Cross Site Scripting ou Ataque XSS

A ideia deste ataque é usar um site legítimo inserindo conteúdo em sua estrutura que capture

dados do usuário.

Tipos de XSS

Existem três tipos de ataques de injeção de script:

Persistente: O script injetado pelo atacante fica alojado de forma permanente no servidor de

destino. O usuário pode acionar a carga apenas por navegar num website infectado; portanto,

qualquer usuário pode executar o código malicioso sem nenhuma ação específica. Esse é um tipo

bastante perigoso de ataque, pois o código pode estar alojado em diversos destinos, como campos de

comentário, base de dados etc.

Não persistente/Refletido: Neste caso, o script não estará alojado em um servidor de destino e

por isso precisará ser entregue para cada vítima. Isso pode acontecer por várias formas de engenharia

social, por exemplo uma mensagem de erro ou um resultado de busca. Uma forma frequente será

um link distribuído por meio de esquemas de phishing. Ao acionar o servidor, por meio do link, o

script será refletido e executado no navegador. Esta técnica é a mais frequente.

Baseado em DOM: O terceiro tipo de ataque XSS explora o Document Object Model (DOM),

que é a interface que define a leitura de HTML e XML no navegador. O script é capaz de alterar

as propriedades das aplicações que executam estes tipos de extensões diretamente no navegador,

portanto sem necessidade de interação com o servidor para performar o ataque. Neste caso, a falha

está na validação do código HTML ou XML no navegador.

FONTE: PROF. RAFAEL ARAUJO/ALFACON

SóProvas