Julgue o próximo item, relativo a vulnerabilidades em aplic...

Alternativa correta: C - certo

O tema central da questão é o sequestro de sessão em aplicações web, um tipo de ataque cibernético que explora vulnerabilidades na forma como os sistemas gerenciam sessões de usuário. Para resolver a questão, é necessário ter conhecimento sobre cookies, IDs de sessão e como os invasores podem utilizá-los para assumir o controle de uma sessão legítima.

Vamos entender o que está por trás disso:

Quando um usuário acessa uma aplicação web, um cookie de sessão é gerado e armazenado no navegador. Esse cookie contém informações importantes, como o ID da sessão, que a aplicação usa para identificar a sessão ativa do usuário. Se um invasor conseguir roubar esse cookie, ele pode usar essas informações para assumir a sessão do usuário, realizando o sequestro de sessão.

A questão descreve exatamente esse tipo de ataque, indicando que o invasor rouba o cookie de sessão, encontra o ID da sessão e o utiliza para assumir o controle. Portanto, a afirmativa está correta.

Agora, vamos entender por que a alternativa "E - errado" não é a resposta apropriada:

A alternativa "E - errado" sugeriria que a descrição do ataque não está correta ou não corresponde a um sequestro de sessão típico. No entanto, a descrição apresentada na questão é precisa e reflete um cenário comum de sequestro de sessão, onde o invasor utiliza o ID de sessão roubado. Assim, marcar esta alternativa como correta não faria sentido.

Em resumo, a questão testa o conhecimento sobre um ataque específico e explora a capacidade do aluno de identificar características de um sequestro de sessão. Compreender os conceitos de cookies, IDs de sessão e suas vulnerabilidades é crucial para resolver questões desse tipo em concursos.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Está questão está mal formulada ou incompleta. Faltou o nome do ataque, que no caso seria Session hijacking ou sequestro de sessão.

OWASP fala sobre isso no top A02:2017 - Quebra de Autenticação

Os atacantes têm acesso a uma infinidade de combinações de nome de utilizador e palavras-passe válidas para ataques de credential stuffing (teste exaustivo), força bruta e de dicionário bem como acesso a contas padrão de administração. Ataques à gestão de sessão são genericamente compreendidos em particular tokens que não expiram.

A confirmação da identidade do utilizador, autenticação e gestão da sessão são críticas para a defesa contra ataques relacionados com autenticação.

Fonte: https://wiki.owasp.org/images/0/06/OWASP_Top_10-2017-pt_pt.pdf

redação pessima dessa questão kkkkkkkkkkkkkkkk

O ataque de sequestro de sessão compromete o token de sessão ao roubar ou prever um token de sessão válido para obter acesso não autorizado ao servidor Web.

O token de sessão pode ser comprometido de diferentes maneiras; os mais comuns são:

• Token de sessão previsível;
• Sniffing de Sessão;
• Ataques do lado do cliente (XSS, códigos JavaScript maliciosos, cavalos de Tróia, etc);
• Ataque man-in-the-middle
• Ataque man-in-the-browser

https://owasp.org/www-community/attacks/Session_hijacking_attack

O ataque de sequestro de sessão compromete o token de sessão ao roubar ou prever um token de sessão válido para obter acesso não autorizado ao servidor Web.

O token de sessão pode ser comprometido de diferentes maneiras; os mais comuns são:

• Token de sessão previsível;
• Sniffing de Sessão;
• Ataques do lado do cliente (XSS, códigos JavaScript maliciosos, cavalos de Tróia, etc);
• Ataque man-in-the-middle
• Ataque man-in-the-browser