Com base em CSRF (cross site request forgery), julgue o item...
Com base em CSRF (cross site request forgery), julgue o item subsequente.
CSRF é um tipo de ataque em que um usuário legítimo pode
ser personificado em uma aplicação maliciosa controlada por
um atacante que executa ações em outra aplicação como se
fosse o usuário legítimo.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Alternativa correta: C - certo
Vamos entender melhor o tema da questão para que você possa compreender o motivo da resposta correta.
CSRF (Cross-Site Request Forgery) é um tipo de ataque onde um usuário legítimo pode ser personificado em uma aplicação maliciosa controlada por um atacante. O atacante faz com que o navegador do usuário legítimo envie uma solicitação não autorizada para um site em que ele está autenticado. Com isso, o atacante consegue realizar ações no site como se fosse o usuário legítimo.
Para compreender essa questão, é importante saber que:
- O CSRF aproveita-se da confiança que o site alvo tem no navegador do usuário.
- O atacante precisa que o usuário esteja autenticado no site alvo para que a solicitação seja aceita.
- O ataque pode ser realizado através de diferentes métodos, como links maliciosos ou formulários escondidos.
A questão afirma que o CSRF é um ataque onde um usuário legítimo é personificado em uma aplicação maliciosa, controlada por um atacante que executa ações em outra aplicação como se fosse o usuário legítimo. Essa definição está correta, pois descreve precisamente como funciona o ataque.
Portanto, a alternativa C - certo está correta, uma vez que a fundamentação da questão está conforme a descrição técnica do ataque CSRF.
Gostou do comentário? Deixe sua avaliação aqui embaixo!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Certo
CSRF (Cross-Site Request Forgery) é um tipo de ataque onde um usuário legítimo é enganado para realizar ações indesejadas em uma aplicação web onde está autenticado. O atacante pode usar uma aplicação maliciosa para forjar uma solicitação que parece legítima, fazendo com que a aplicação alvo acredite que a ação está sendo realizada pelo usuário legítimo, quando na verdade foi iniciada pelo atacante.
Parece muito o IP/DNS SPOOFING.
CERTO!
É um tipo de ataque em que um atacante induz um usuário legítimo a executar ações não intencionais em uma aplicação web na qual ele está autenticado. O atacante utiliza uma aplicação maliciosa para enviar requisições à aplicação legítima em nome do usuário, aproveitando-se da sessão autenticada do usuário para executar ações como se fosse ele.
"...executa ações em outra aplicação..." essa parte me fez marcar errado.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos