Julgue o item a seguir, quanto às ferramentas e técnicas de ...

A alternativa correta é C - certo.

Vamos entender porque a alternativa correta é a "C" e explorar os conceitos envolvidos na questão.

CSRF (Cross-Site Request Forgery) é um tipo de ataque em que o atacante explora a relação de confiança que um sítio (site) possui com o navegador que o acessa. Neste ataque, o invasor consegue induzir um usuário a executar ações indesejadas em uma aplicação web na qual ele está autenticado. Isso acontece sem o conhecimento do usuário, aproveitando-se da confiança que o site tem no navegador.

Por exemplo, se um usuário está autenticado no site de um banco e, ao mesmo tempo, visita um site malicioso, este último pode enviar requisições para o banco utilizando as credenciais do usuário, sem que ele perceba.

A questão aborda especificamente este tipo de ataque, explorando a relação de confiança entre o navegador e o site.

Vamos justificar a escolha da alternativa:

C - certo: A descrição do enunciado está correta ao afirmar que o CSRF aproveita a relação de confiança entre o navegador e o site. Portanto, a resposta é "C".

Agora, para esclarecer ainda mais, vamos discutir outras possibilidades e porque elas estariam incorretas se fossem alternativas:

XSS (Cross-Site Scripting): Este é outro tipo de ataque comum em aplicativos web, mas ele envolve a inserção de scripts maliciosos em páginas web vistas por outros usuários. Diferentemente do CSRF, que explora requisições autenticadas, o XSS visa injetar código malicioso para ser executado no navegador de outros usuários.

SQL Injection: Este ataque envolve a inserção de comandos SQL maliciosos em entradas de dados de um aplicativo web, visando manipular o banco de dados. Novamente, este tipo de ataque é diferente do CSRF, pois ele se concentra na manipulação de consultas SQL.

Phishing: Este ataque é uma tentativa de obter informações confidenciais, como senhas e detalhes de cartões de crédito, enganando os usuários a acreditar que estão interagindo com uma entidade confiável. Phishing não explora a relação de confiança entre navegador e site da mesma maneira que o CSRF.

Portanto, ao entender os diferentes tipos de ataques e suas características, fica claro que a alternativa correta para a questão apresentada é "C", pois ela descreve precisamente o funcionamento de um ataque CSRF.

CERTO

CSRF tira proveito da confiança que o site tem no usuário. Explora o site/sessão

CSRF: Consiste em inserir requisições em uma sessão já aberta pelo usuário, explorando a confiança que um site tem do navegador. Atua após a obtenção do cookie gerado pela aplicação após a autenticação. Por meio do cookie, o servidor acredita estar se comunicando com o usuário real e autenticado. Pode ser inibido por captcha.

O Cross-Site Request Forgery (CSRF) é uma classe de ataques que explora a relação de confiança entre um aplicativo web e seu usuário legítimo. Para execução do CSRF, o usuário mal intencionado deve induzir o utilizador legítimo, seja por meio de engenharia social ou outros artifícios como cross-site scripting, a executar atividades arbitrárias no aplicativo, permitindo que virtualmente qualquer ação específica possa ser realizada no sistema sem o consentimento do usuário final.

Fonte: comentários do qc

Esse ai não aparece mais no top 10 desde 2013

A lista de 2021 trouxe um outro item no top 10:2021 – Server-Side Request Forgery (SSRF)



Essa falha de segurança (conhecida pela sigla SSRF – Server-Side Request Forgery) permite que o hacker force uma aplicação server-side a enviar requisições de HTTP para qualquer domínio. Isso pode ocorrer mesmo com aplicações protegidas por firewall, VPN ou outros meios de controle de acesso de rede.

CERTO!

O CSRF (Cross-Site Request Forgery) é um tipo de ataque em que um atacante explora a relação de confiança existente entre um usuário autenticado e um site que ele está visitando. Nesse tipo de ataque, o atacante engana o navegador do usuário para que ele execute ações indesejadas em um site sem o conhecimento ou consentimento do usuário.