Com base em CSRF (cross site request forgery), julgue o item...

Próximas questões
Com base no mesmo assunto
Q2562339 Segurança da Informação

Com base em CSRF (cross site request forgery), julgue o item subsequente. 


Por fundamento de CSRF, o uso de cookies é suficiente para garantir que uma aplicação não seja vulnerável à exploração de CSRF. 

Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: E - Errado

Vamos entender melhor essa questão sobre CSRF (Cross-Site Request Forgery). O CSRF é um tipo de ataque no qual um usuário é induzido a realizar ações indesejadas em uma aplicação web na qual ele está autenticado. É uma ameaça que explora a confiança que um site possui no navegador do usuário.

A questão afirma que o uso de cookies é suficiente para garantir que uma aplicação não seja vulnerável ao CSRF. No entanto, isso está incorreto.

Por que a alternativa está errada:

Os cookies são amplamente utilizados para manter sessões de usuário, mas eles não são suficientes para prevenir um ataque de CSRF. Isso ocorre porque, em um ataque de CSRF, o navegador do usuário pode ser induzido a enviar automaticamente cookies de sessão válidos para o servidor, sem que o usuário perceba. Portanto, confiar apenas em cookies para segurança não é uma prática adequada.

Para proteger uma aplicação contra ataques de CSRF, é necessário implementar medidas adicionais, como:

  • Tokens CSRF: Inclusão de tokens únicos e imprevisíveis em formulários e URLs que o servidor verifica antes de processar uma solicitação.
  • Verificação de Referer: Checar o cabeçalho Referer das solicitações para garantir que elas vêm de origens confiáveis.
  • SameSite Cookies: Configurar cookies com a diretiva SameSite para que não sejam enviados em solicitações de outros sites.

Portanto, a alternativa correta é "E" porque o uso de cookies por si só não é suficiente para impedir ataques de CSRF.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Cross-Site Request Forgery (CSRF) é um tipo de ataque que explora a confiança de um site em seu usuário autenticado. O ataque ocorre quando um usuário, já autenticado em um site legítimo, é induzido a realizar uma ação indesejada nesse site, sem o seu consentimento ou conhecimento.

Logo, para proteger adequadamente uma aplicação contra CSRF, o uso de cookies deve ser complementado com outras medidas, como a implementação de tokens anti-CSRF e a configuração adequada do atributo nos cookies.

Gabarito Errado

Fonte: Gpt

Não, o uso de cookies por si só não é suficiente para garantir que uma aplicação não seja vulnerável à exploração de CSRF.

Comportamento Automático dos Cookies:

Os navegadores enviam automaticamente os cookies associados a um domínio sempre que uma requisição é feita para aquele domínio. Isso inclui requisições feitas a partir de um site malicioso, desde que direcionadas ao domínio de interesse.

Um atacante pode explorar essa característica ao fazer o usuário enviar uma requisição maliciosa para o servidor de destino, que receberá e processará a requisição como legítima, pois os cookies de sessão válidos são enviados automaticamente.

Falha na Autenticação de Requisição:

Mesmo que os cookies identifiquem o usuário autenticado, eles não verificam se a requisição realmente foi feita intencionalmente pelo usuário ou foi forjada por um site de terceiros.

Isso significa que, sem proteção adicional, o servidor pode processar uma requisição maliciosa se ela contiver os cookies válidos, assumindo que ela é legítima.

ERRADO!

Um ataque CSRF pode explorar a confiança que o site tem no navegador do usuário, usando cookies de autenticação válidos para realizar ações maliciosas em nome do usuário. Para proteger contra CSRF, são necessárias medidas adicionais, como tokens de verificação (CSRF tokens) que são enviados com cada requisição para garantir que a solicitação veio do usuário legítimo.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo