No tópico segurança de aplicações web, o plano deve conside...

A alternativa correta é E - errado.

Vamos entender o porquê:

O enunciado da questão aborda a segurança em aplicações web, especificamente no contexto da metodologia OWASP SAMM (Software Assurance Maturity Model) e outros aspectos técnicos como análise de vulnerabilidades e testes de invasão. A questão está afirmando que o ataque de quebra de autenticação e de gerenciamento de sessão é um dos mais importantes porque, entre outras coisas, possibilita a execução de scripts nos navegadores das vítimas.

Justificativa para a alternativa correta (Errado):

A afirmação está incorreta porque está misturando conceitos de diferentes tipos de ataques. A quebra de autenticação e de gerenciamento de sessão é realmente um dos principais problemas de segurança em aplicações web, mas a parte que menciona que permite a execução de scripts nos navegadores das vítimas está incorreta.

Essa última parte descreve um tipo de ataque conhecido como Cross-Site Scripting (XSS), que é diferente da quebra de autenticação e gerenciamento de sessão. No XSS, o atacante insere scripts maliciosos no conteúdo da página web, que são executados no navegador dos usuários, podendo causar diversos danos como a pichação de sites web e o sequestro do navegador do usuário.

Portanto, a questão apresentou uma confusão entre os ataques de quebra de autenticação e gerenciamento de sessão e XSS, que são distintos em suas naturezas e consequências. A quebra de autenticação e gerenciamento de sessão foca em comprometer a identidade dos usuários e suas sessões válidas, enquanto o XSS lida com a execução de scripts maliciosos no contexto do navegador da vítima.

Em resumo, a alternativa está errada porque mescla duas categorias de ataques diferentes, levando a uma conclusão que não é tecnicamente precisa.

Para aprimorar seus conhecimentos, é importante revisar os principais tipos de ataques listados pelo OWASP, como injeção, quebra de autenticação, XSS, e outros, pois cada um tem características e métodos de mitigação específicos.

Espero que essa explicação tenha clarificado o tema! Se precisar de mais detalhes ou tiver outras dúvidas, sinta-se à vontade para perguntar.

Quebra de Autenticação e Gerenciamento de Sessão : As funções da aplicação relacionadas com autenticação e gerenciamento de sessão geralmente são implementadas de forma incorreta, permitindo que os atacantes comprometam senhas, chaves e tokens de sessão ou, ainda, explorem outra falha da implementação para assumir a identidade de outros usuários.

Cross-Site Scripting (XSS) : Falhas XSS ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. XSS permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites, ou redirecionar o usuário para sites maliciosos.

Ou seja, a questão misturou os dois conceitos.

[Fonte : https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2013_Brazilian_Portuguese.pdf ]

(...) seja porque possibilitam a execução de scripts nos navegadores das vítimas, facilitando a pichação de sítios web e o sequestro do navegador do usuário, entre outros impactos de negócio.

CREIO QUE A PARTE GRIFADA SE REFIRA AO CROSS-SITE SCRIPTING (XSS), E NÃO ATAQUE QUEBRA DE AUTENTICAÇÃO.

(...)seja porque é comum aos desenvolvedores de software adotarem esquemas de autenticação e gerenciamento de sessão próprios(...)

Eu marquei errado por causa desse trecho. Por tudo que estudei os desenvolvedores adotam protocolos de autenticação e de gerenciamento de sessão públicos e abertos, e não próprios. O que acham?