Julgue o item a seguir, a respeito de testes de invasão em...

O gabarito correto é a alternativa C.

Vamos entender o motivo desta alternativa ser correta, acompanhando a explicação sobre o tema abordado na questão.

CSRF (Cross-Site Request Forgery) é um tipo de ataque que utiliza a credibilidade do navegador da vítima para realizar ações não autorizadas em uma aplicação web. Ele aproveita-se do fato de que muitos sites autenticam seus usuários por meio de cookies. Quando um usuário está autenticado e visita outro site malicioso, este pode enviar solicitações para a aplicação legítima com os cookies da sessão ativa, fazendo com que a aplicação legítima acredite que as ações são legítimas e autorizadas.

Por exemplo: Imagine que você está logado em sua conta bancária online e, ao mesmo tempo, visita um site malicioso em outra aba do navegador. Este site malicioso pode enviar uma solicitação de transferência de fundos que será autorizada pelo seu banco, pois o navegador ainda contém os cookies de autenticação válidos.

Por isso, a afirmação de que um ataque do tipo CSRF permite que um usuário final execute ações indesejáveis em uma aplicação web falha está correta.

Agora, vamos justificar a alternativa correta:

Justificativa da alternativa C:

CSRF é um ataque reconhecido e bem documentado que explora a confiança que uma aplicação web tem nos cookies ou na sessão do usuário. Esse tipo de ataque pode resultar em ações indesejadas e potencialmente perigosas, como transferências de fundos, mudanças de configurações de conta, ou outros comandos sensíveis que a vítima não tinha intenção de realizar. Portanto, a afirmação está correta ao descrever a natureza desse ataque.

Vamos revisar as alternativas incorretas:

Justificativas das alternativas incorretas:

Neste caso, não há alternativas além de C e E. Já que E seria a única outra opção, e pelo que explicamos sobre CSRF, podemos afirmar que ela estaria errada. A alternativa E estaria incorreta pois negaria ou distorceria a natureza do CSRF, que efetivamente permite a execução de ações não autorizadas.

Espero que esta explicação tenha esclarecido o conceito de CSRF e a razão pela qual a alternativa C é a correta. Se precisar de mais alguma ajuda, estou à disposição!

Cross-site request forgery é um tipo de ataque informático malicioso a um website no qual comandos não autorizados são transmitidos através de um utilizador em quem o website confia. Em contraste com o cross-site scripting (XSS), que explora a confiança de um utilizador para um site particular, o CSRF explora a confiança que um website tem do navegador do usuário. FONTE: https://www.wikiwand.com/pt/Cross-site_request_forgery

Tão genérico que só poderia estar correto.

CSRF (Cross Site Scripting Request Forgery)

-Consiste em inserir requisições em uma sessão já aberta pelo usuário, explorando a confiança que um site tem do navegador.
-Atua após a obtenção do cookie gerado pela aplicação após a autenticação.
-Por meio do cookie, o servidor acredita estar se comunicando.

 

Fonte: Itnerante

-----------------------------------------------------------------------------------------------------------------------------------------------------

 

Ou seja, no CSRF o usuário vai acessar um site que confia, por exemplo o www.saraiva.com.br, esse usuário vai efetuar a compra de livros, portanto logicamente vai inserir seus dados (nome, endereço, telefone, num cartão crédito ou débito....)... Partindo disso, o atacante vai fisgar/aproveitar dos cookies desse usuário para entrar no site da saraiva disfarçado do usuário, o saraiva vai pensar que realmente quem ta acessando o site é o usuário, mas será o atacante.

Explora a confiança da aplicação web no usuário que está conectado.

Força a vítima a criar requisições HTTP forjada incluindo cookie.

GABARITO: CERTO.