Julgue o item a seguir, a respeito de testes de invasão em ...

A alternativa correta é C - certo.

Vamos entender melhor o tema abordado na questão e justificar a alternativa correta:

Cross-Site Scripting (XSS): O XSS é uma vulnerabilidade de segurança comum em aplicações web que permite que atacantes insiram scripts maliciosos em páginas visualizadas por outros usuários. Esses scripts podem ser usados para roubar cookies, redirecionar usuários para sites maliciosos, ou mesmo manipular o conteúdo da página de forma a executar ações indesejadas.

Na questão, é mencionado que uma falha de XSS permite que um atacante insira código malicioso em páginas web, de forma a redirecionar, por exemplo, uma resposta a um local controlado pelo atacante. Isso é uma descrição precisa do que um ataque XSS pode fazer.

Agora, vamos analisar as alternativas:

Alternativa C - Certo: Esta alternativa é correta porque descreve precisamente o comportamento de um ataque XSS, onde o atacante consegue injetar scripts maliciosos que podem redirecionar a resposta do usuário para um local controlado pelo atacante. Essa capacidade de redirecionamento é uma das várias formas pelas quais um XSS pode ser explorado.

Alternativa E - Errado: Esta alternativa é incorreta. Se fosse uma questão binária de certo ou errado e a alternativa fosse "errado", então ela estaria negando a possibilidade de redirecionamento através de um XSS, o que contradiz os fatos conhecidos sobre essa vulnerabilidade. Dessa forma, claramente, a alternativa correta é a "C".

Para resolver essa questão, é necessário ter conhecimentos básicos sobre vulnerabilidades em aplicações web, especialmente sobre XSS. É importante entender que o XSS é uma das vulnerabilidades mais comuns e perigosas, permitindo uma variedade de ataques que podem comprometer seriamente a segurança dos usuários e da aplicação.

Se precisar de mais alguma explicação ou tiver outras dúvidas, estou à disposição para ajudar!

Cross-site scripting: Também conhecido como XSS, é um tipo de vulnerabilidade que permite injeção de códigos no lado cliente (client-side) de aplicações Web. Este tipo de vulnerabilidade habilita os atacantes a ignorar os controles de acesso, obter privilégios de acesso, desfigurar páginas Web e obter dados sensíveis como logins, senhas ou números de cartões de créditos (BODMER, 2007).

Fonte: 

http://www.bcc.ufla.br/wp-content/uploads/2013/09/TESTES-DE-SEGURAN%C3%87A-EM-APLICA%C3%87%C3%95ES-WEB-SEGUNDO-A.pdf

CERTO.

Segundo o documento OWASP TOP 10-2013,"Falhas XSS ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. XSS permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites, ou redirecionar o usuário para sites maliciosos."

GABARITO: CERTO.

Cross-site script é um ataque que explora a confiança do cliente no servidor. O cliente é o navegador, que vai realizar a ligação com o servidor de páginas. O cliente confia em um determinado site (ex.: site do seu banco), no entanto esse site estava com uma falha e alguém inseriu um script malicioso nele.

Ex.: imagine que um formulário de cadastro no site da Amazon tem uma vulnerabilidade e foi colocado um script malicioso nele, que solicita que o usuário coloque sua senha duas vezes. O usuário faz isso porque acredita que o site seja confiável.

Explicação: Prof. Jósis Alves - GranCursos Online