Julgue o item que se segue, referente às vulnerabilidade de ...

Gabarito: E

Vamos entender por que a alternativa correta é a letra E (Errado).

Primeiramente, é fundamental compreender o conceito de Cross-Site Scripting (XSS). Este é um tipo de vulnerabilidade em aplicações web, onde o atacante injeta scripts maliciosos em sites confiáveis. Esses scripts são então executados no navegador dos usuários que visitam o site, permitindo ao atacante roubar informações sensíveis, como cookies, tokens de sessão ou até mesmo manipular o conteúdo exibido aos usuários.

O enunciado da questão afirma que, em um ataque de XSS, "as entradas de dados de um programa interferem no fluxo de execução desse mesmo programa".

Esta afirmação está incorreta por alguns motivos:

1. Escopo do Ataque: No XSS, o script malicioso é executado no contexto do navegador da vítima e não altera o fluxo de execução do servidor ou do programa original. Em outras palavras, o código do servidor não é diretamente alterado; a execução do script malicioso ocorre no lado do cliente (navegador).

2. Entrada de Dados: No XSS, as entradas de dados são manipuladas para incluir scripts maliciosos, mas essa manipulação visa a execução no navegador do usuário, não no programa ou serviço que recebe a entrada.

Portanto, a afirmação de que "as entradas de dados de um programa interferem no fluxo de execução desse mesmo programa" descreve mais precisamente um ataque de Injeção de Código (Code Injection) ou até mesmo SQL Injection, onde o código malicioso inserido é executado no servidor, alterando o fluxo de execução original do programa.

Agora vamos esclarecer cada parte da questão:

1. Vulnerabilidades de Sistemas Computacionais: Isso inclui diversos tipos de falhas de segurança que podem ser exploradas por atacantes, como XSS, SQL Injection, Buffer Overflow, etc. Cada tipo de vulnerabilidade tem características e métodos de exploração diferentes.

2. Cross-Site Scripting (XSS): Como mencionado, é uma vulnerabilidade onde scripts maliciosos são injetados em páginas web confiáveis e executados no navegador dos usuários, sem interferir diretamente no fluxo de execução do servidor.

3. Fluxo de Execução: No contexto de segurança da informação, interferir no fluxo de execução de um programa geralmente significa alterar a lógica ou o comportamento do código no servidor, o que não é o caso do XSS.

Por esses motivos, a alternativa correta é E (Errado), pois a descrição fornecida no enunciado não corresponde ao funcionamento do ataque de Cross-Site Scripting.

Espero que essa explicação tenha sido clara e tenha ajudado você a entender melhor o tema. Se tiver mais dúvidas, estarei à disposição para ajudar!

Em um ataque de execução (ataque de injeção) de script entre sites (XSS), as entradas de dados de um programa interferem no fluxo de execução desse mesmo programa.

CESPE - JUSTIFICATIVA: ERRADO. O item descreve um ataque de injeção e não um ataque de execução. O nome ataque de injeção refere-se a uma variedade de falhas de programa relacionadas com o tratamento incorreto de dados de entrada. Especificamente, esse problema ocorre quando a entrada de dados de programa pode influenciar acidental ou deliberadamente o fluxo de execução do programa.Outra classe geral de vulnerabilidades refere-se a entradas fornecidas por um usuário a um programa que, subsequentemente, fornece como saída a entrada para outro usuário. Tais ataques são conhecidos como ataques de execução de script entre sites (cross-site scripting — XSS6), porque são mais comumente vistos em aplicações web escritas em linguagem de script.

O SCRIPT são vírus que podem ser usados para criar códigos maliciosos que são ATIVADOS TÃO LOGO quando vc acessa uma página onde eles estão escritos. O erro da questão está em afirmar que: interferem no fluxo de execução desse mesmo programa, onde isso não acontece apenas o vírus é ativado.

Alternativa: ERRADA

O XSS (Cross Site Scripting) é um ataque que pode ser feito na sua forma refletida (Reflected) ou sua forma persistente (Stored).

Trata-se da injeção de um código dentro da tag script (Stored XSS) em algum campo de input da aplicação (geralmente campos de comentários).

<script> código aqui </script>

Ao efetuar o comentário, a aplicação que contém uma falha de segurança (tratamento incorreto dos dados de entrada) salva o comentário com o código malicioso normalmente.

Diante disso, não é o ataque XSS quem executa o script, ele apenas injeta o código malicioso no servidor e este o executa no momento que há a requisição da página afetada.

Em um ataque de injeção de script entre sites (XSS), as entradas de dados de um programa interferem no fluxo de execução desse mesmo programa.

GABARITO: ERRADO.

Fonte: tecconcursos

JUSTIFICATIVA: ERRADO. O item descreve um ataque de injeção e não um ataque de execução. O nome ataque de injeção refere-se a uma variedade de falhas de programa relacionadas com o tratamento incorreto de dados de entrada. Especificamente, esse problema ocorre quando a entrada de dados de programa pode influenciar acidental ou deliberadamente o fluxo de execução do programa.Outra classe geral de vulnerabilidades refere-se a entradas fornecidas por um usuário a um programa que, subsequentemente, fornece como saída a entrada para outro usuário. Tais ataques são conhecidos como ataques de execução de script entre sites (cross-site scripting — XSS6), porque são mais comumente vistos em aplicações web escritas em linguagem de script

Interferiu no fluxo de execução da aplicação: injeção. A execução é só "exaurimento" do ataque, não compõe o ataque; é apenas consequência esperada da ação de um usuário desavisado.

Parafraseando o ministro que agradecemos qdo o vemos no supermercado: Jogou a granada no bolso do servidor de aplicação pra ele mesmo executar quando alguém requisitar a página alterada.

A execução do script em si não é um ataque, mas mero exaurimento do ataque kkkkkkk!!!

É tipo colocar explosivo acionável pelo sistema de ignição do carro: o ataque consiste na instalação do dispositivo; A explosão, assim que a vítima aciona a ignição do veículo, é só consequência da ação criminosa, pois a vítima nem sabia que haviam colocado uma bomba no carro.