Quando os dados que o usuário dá de entrada são enviados com...

A alternativa correta é a E - falhas de injeção.

Para entender por que essa é a alternativa correta, vamos primeiro explorar o conceito de falhas de injeção. Quando os dados que o usuário insere são enviados diretamente como parte de um comando ou consulta, há o risco de que esses dados contenham comandos maliciosos. Isso é conhecido como injeção de código, uma das vulnerabilidades mais graves em termos de segurança da informação.

Um exemplo clássico é a SQL Injection, onde um atacante insere código SQL malicioso em um campo de entrada (como um formulário de login). Se esses dados não forem devidamente validados, eles podem ser executados diretamente pelo banco de dados, permitindo que o atacante acesse, modifique ou até mesmo exclua dados da base.

Vamos agora justificar por que as outras alternativas estão incorretas:

A - referência insegura direta a objetos: Essa vulnerabilidade ocorre quando um aplicativo expõe referências a objetos internos, como arquivos ou registros de banco de dados, através de URLs ou parâmetros. Embora seja uma vulnerabilidade séria, não se relaciona diretamente com a inserção de dados do usuário em comandos ou consultas.

B - cross site request forgery: Também conhecido como CSRF, essa vulnerabilidade permite que um atacante faça com que o navegador de uma vítima execute ações não autorizadas em uma aplicação na qual o usuário está autenticado. É diferente de vulnerabilidades de injeção, pois não envolve a inserção de comandos maliciosos como parte de consultas ou comandos.

C - autenticação falha e gerenciamento de sessão: Essa categoria de vulnerabilidades envolve problemas na forma como um sistema autentica usuários e gerencia suas sessões. Exemplos incluem senhas fracas ou tokens de sessão previsíveis. Mais uma vez, não se relaciona com a inserção de dados do usuário em comandos ou consultas.

D - armazenamento criptográfico inseguro: Refere-se a falhas na forma como os dados são armazenados de forma criptografada, como o uso de algoritmos de criptografia fracos ou a falta de criptografia para dados sensíveis. Não está relacionado à inserção de dados do usuário em comandos ou consultas.

Em resumo, a alternativa E é a correta porque descreve precisamente o problema de falhas de injeção, onde dados de entrada do usuário são utilizados de maneira insegura em comandos ou consultas, representando um risco significativo à segurança do sistema.

OWASP TOP 10 - As 10 vulnerabilidades de segurança mais críticas em aplicações WEB

a) A4 – Referência Insegura Direta à Objetos Uma referência direta a objeto ocorre quando um desenvolvedor expõe a referência a um objeto implementado internamente, como é o caso de arquivos, diretórios, registros da base de dados ou chaves, na forma de uma URL ou parâmetro de formulário. Os atacantes podem manipular estas referências para acessar outros objetos sem autorização.

b) A5 – Cross Site Request Forgery (CSRF) Um ataque CSRF força o navegador da vítima, que esteja autenticado em uma aplicação, a enviar uma requisição pré-autenticada a um servidor Web vulnerável, que por sua vez força o navegador da vítima a executar uma ação maliciosa em prol do atacante. O CSRF pode ser tão poderoso quanto a aplicação Web que ele ataca.

c) A7 – Autenticação falha e Gerenciamento de Sessão As credenciais de acesso e token de sessão não são protegidos apropriadamente com bastante frequência. Atacantes comprometem senhas, chaves ou tokens de autenticação de forma a assumir a identidade de outros usuários.

d) A8 – Armazenamento Criptográfico Inseguro As aplicações Web raramente utilizam funções criptográficas de forma adequada para proteção de informações e credenciais. Os atacantes se aproveitam de informações mal protegidas para realizar roubo de identidade e outros crimes, como fraudes de cartões de crédito.

e) [ GABARITO ] A2 – Falhas de Injeção As falhas de injeção, em especial SQL Injection, são comuns em aplicações Web. A injeção ocorre quando os dados fornecidos pelo usuário são enviados a um interpretador com parte do comando ou consulta. A informação maliciosa fornecida pelo atacante engana o interpretador que irá executar comandos mal intencionados ou manipular informações.

https://www.owasp.org/images/4/42/OWASP_TOP_10_2007_PT-BR.pdf

Simples, se está tendo VULNERABILIDADE , está ocorrendo FALHA . Sendo assim: a resposta certa é a letra E

Sayonara Gayoso é melhor ler o seu comentário do que ser cego... kkkkkkkkkkkkkk

Gabarito: Alternativa E

Falhas de Injeção: Algumas aplicações não validam entradas de usuários permitindo que hackers executem comandos diretamente no banco de dados de uma aplicação. É uma manipulação de uma instrução SQL através das variáveis que compõem os parâmetros recebidos por um script. Este tipo de ataque consiste em passar parâmetros a mais via barra de navegação do navegador. Por exemplo, nesse caso citado seria um ataque de SQL Injection. Mas podemos ter "injeções" em outras tecnologias, não apenas SQL.