O desenvolvimento seguro é a prática de integrar segurança e...

Próximas questões
Com base no mesmo assunto
Q3158054 Arquitetura de Software
O desenvolvimento seguro é a prática de integrar segurança em todas as fases do ciclo de vida do software, prevenindo vulnerabilidades e protegendo dados. Um tipo de vulnerabilidade web, bastante explorada por hackers, permite que códigos maliciosos sejam inseridos nessas páginas para roubar informações sensíveis, redirecionar usuários a sites falsos, ou manipular o conteúdo da página de outras formas.
Assinale a opção que apresenta o tipo de vulnerabilidade descrita no texto acima.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Alternativa Correta: C - XSS - Cross-Site Scripting

Vamos entender por que essa é a resposta correta e analisar as outras opções, ajudando você a se preparar melhor para questões semelhantes.

Tema Central: A questão aborda o desenvolvimento seguro no ciclo de vida do software, enfatizando a importância de prevenir vulnerabilidades que possam ser exploradas por hackers. O foco é em um tipo específico de vulnerabilidade web que permite a inserção de códigos maliciosos.

Explanação Teórica: Cross-Site Scripting (XSS) é uma vulnerabilidade comum em aplicações web que permite que atacantes injetem scripts maliciosos em conteúdos de páginas vistas por outros usuários. Esses scripts podem roubar informações sensíveis, redirecionar usuários ou manipular a página.

De acordo com a OWASP, XSS é uma das vulnerabilidades mais conhecidas e exploradas na web, e sua prevenção requer práticas de codificação seguras, como a validação e a codificação correta de entradas de usuário.

Justificativa da Alternativa Correta: A descrição no enunciado fala sobre a inserção de códigos maliciosos para roubar informações e manipular conteúdo, características típicas de XSS. Portanto, a opção C é a correta.

Análise das Alternativas Incorretas:

  • A - LFI – Local File Inclusion: Essa vulnerabilidade permite que um atacante inclua arquivos locais no servidor em execução, mas não se relaciona diretamente com a inserção de scripts em páginas web, como descrito no enunciado.
  • B - RFI – Remote File Inclusion: Semelhante ao LFI, mas envolve a inclusão de arquivos remotos, o que também não é o foco da questão.
  • D - SQL Injection: Esta vulnerabilidade permite manipular bancos de dados diretamente através de entradas de usuário, mas não envolve a inserção de scripts em páginas web para manipulação ou roubo de dados da forma descrita.
  • E - FPD – Full Path Disclosure: Trata-se da divulgação não intencional do caminho completo de um arquivo no servidor, o que é uma questão de exposição de informações, mas não corresponde à descrição do enunciado.

Estratégia de Interpretação: Ao responder questões sobre vulnerabilidades, é importante identificar os termos-chave no enunciado que descrevem as ações dos atacantes e o tipo de ameaça. Isso ajuda a diferenciar entre as várias vulnerabilidades comuns.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

A vulnerabilidade descrita no texto corresponde à opção C: XSS - Cross-Site Scripting.

Justificativa:

O XSS (Cross-Site Scripting) ocorre quando códigos maliciosos são inseridos em páginas da web, permitindo que um atacante manipule o conteúdo, roube informações sensíveis (como cookies ou dados de formulários) ou redirecione usuários para sites maliciosos. Esse tipo de ataque é muito comum em aplicações web mal configuradas ou que não tratam adequadamente as entradas de usuário.

As outras alternativas representam diferentes tipos de vulnerabilidades:

  • A (LFI): Exploração de inclusão de arquivos locais.
  • B (RFI): Inclusão de arquivos remotos maliciosos.
  • D (SQL Injection): Manipulação de consultas SQL para acessar ou modificar bancos de dados.
  • E (FPD): Exposição do caminho completo do sistema de arquivos.

Portanto, a correta é a alternativa C: XSS - Cross-Site Scripting.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo