SóProvas


ID
898105
Banca
CESGRANRIO
Órgão
BNDES
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A comunidade aberta da OWASP (Open Web Application Security Project) é dedicada a prover recursos para que as organizações possam conceber, desenvolver, adquirir, operar e manter aplicações que possam ser confiáveis.

Dentre os 10 mais críticos riscos de segurança apontados pela OWASP para aplicações Web está o ataque conhecido como XSS que visa ao(à)

Alternativas
Comentários
  • letra D.

    Segundo OWASP(2013),"A3-Cross-Site Scripting(XSS):Falhas XSS ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. XSS permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites, ou redirecionar o usuário para sites maliciosos."

    Bibliografia:

    Guia OWASP->

    https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf

  • Gabarito D

    Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que activam ataques maliciosos ao injectarem client-side script dentro das páginas web vistas por outros usuários. Um script de exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controles de acesso que usam a política de mesma origem.

    Através de um XSS, o cracker injeta códigos JavaScript em um campo texto de uma página já existente e este JavaScript é apresentado para outros usuários, porque persiste na página.

    Exemplo de ataque: Imaginem que o cracker insira, em um fórum de um website alvo de ataque, um texto que contenha um trecho de JavaScript. Este JavaScript poderia, por exemplo, simular a página de login do site, capturar os valores digitados e enviá-los a um siteque os armazene.

    Quando o texto do fórum for apresentado a outros usuários, um site atacado pelo XSS exibirá o trecho de JavaScript digitado anteriormente nos browsers de todos os outros usuários, provocando a brecha de ataque.

    O invasor envia um script para o servidor: