XSS é a mais predominante falha de segurança em aplicações w...

Alternativa correta: C - baseado em DOM

A questão aborda uma falha de segurança muito comum em aplicações web, conhecida como XSS (Cross-Site Scripting). Essa falha ocorre quando uma aplicação inclui dados fornecidos pelo usuário na página, sem a devida validação ou filtragem, possibilitando que scripts maliciosos sejam executados no navegador do usuário.

Existem três tipos principais de falhas XSS:

• Persistente: Ocorre quando os dados maliciosos fornecidos pelo usuário são armazenados permanentemente no servidor (por exemplo, em um banco de dados) e posteriormente exibidos a outros usuários.
• Refletido: Ocorre quando os dados fornecidos pelo usuário são imediatamente retornados pelo servidor em uma resposta HTTP, sem ser armazenados, sendo refletidos de volta ao navegador.
• Baseado em DOM: Ocorre quando a vulnerabilidade está no lado do cliente, especificamente na manipulação do DOM (Document Object Model) realizada via JavaScript no navegador do usuário.

Agora, vamos analisar as alternativas:

A - Gerenciado: Esta alternativa está incorreta. Não existe um tipo de XSS conhecido como “Gerenciado”.

B - baseado em Cookie: Esta alternativa está incorreta. Embora cookies possam ser utilizados em ataques XSS, não existe uma classificação de XSS denominada "baseado em Cookie".

C - baseado em DOM: Esta é a alternativa correta. Como explicado, o XSS baseado em DOM ocorre no lado do cliente e envolve a manipulação do DOM da página através do navegador do usuário.

D - Lazy Load: Esta alternativa está incorreta. Lazy Load é uma técnica de carregamento de recursos sob demanda e não um tipo de XSS.

E - Binário: Esta alternativa está incorreta. Não existe um tipo de XSS conhecido como "Binário".

Para resolver essa questão, é necessário ter conhecimentos sobre segurança em aplicações web e, especificamente, sobre as diferentes formas que a vulnerabilidade XSS pode assumir. Compreender os conceitos de validação e filtragem de dados fornecidos pelo usuário também é crucial para evitar tais falhas de segurança.

Tipos xss 

•XSS Não Persistente (Reflected): Os não persistentes são os mais comuns, sendo os principais responsáveis por ataques de phishing. 

•XSS Persistente (Storage): é o tipo mais perigoso, pois não depende da ação do usuário e frequentemente acontece em sites no qual o atacante pode postar texto, como, por exemplo, fóruns, Orkut, Twitter, Facebook.

•XSS Baseado em DOM: ocorre quando um código JavaScript usa o parâmetro passado na URL para escrever na própria página, e esse parâmetro não é uma entidade HTML.

Sumário: Afinal, o que é o Cross-site Scripting?

O ataque de Cross-site scripting (XSS) consiste em uma vulnerabilidade causada pela falha nas validações dos parâmetros de entrada do usuário e resposta do servidor na aplicação web. Este ataque permite que código HTML seja inserido de maneira arbitrária no navegador do usuário alvo.

Tecnicamente, este problema ocorre quando um parâmetro de entrada do usuário é apresentado integralmente pelo navegador, como no caso de um código javascript que passa a ser interpretado como parte da aplicação legítima e com acesso a todas as entidades do documento (DOM). Na prática, o responsável pelo ataque executar instruções no navegador da vítima usando um aplicativo web vulnerável, modificar estruturas do documento HTML e até mesmo utilizar o golpe para perpetrar fraudes como phishing.

http://www.redesegura.com.br/2012/01/saiba-mais-sobre-o-cross-site-scripting-xss/

LETRA C. 

Segundo o documento da OWASP TOP 10-2013,p.10,"XSS é a mais predominante falha de segurança em aplicações web. As falhas de XSS ocorrem quando uma aplicação inclui os dados fornecidos pelo usuário na página, enviados ao navegador, sem a validação ou filtro apropriados desse conteúdo. Existem três tipos conhecidos de falhas XSS: 1) Persistente, 2) Refletido, e 3) XSS baseado em DOM."

TIPOS DE XSS

Não persistente ou Refletido:  "...aparecem quando os dados fornecidos por um cliente web, mais comumente em parâmetros de consulta HTTP ou envios de formulários HTML, é imediatamente utilizado pelos scripts do lado do servidor para analisar e exibir uma página de resultados de e para o usuário, sem a limpeza adequada do pedido."

Persistente ou Armazenado: "...ocorre quando os dados fornecidos pelo atacante são salvos pelo servidor e, em seguida, exibidos em páginas 'normais' retornadas para outros usuários no curso de uma navegação normal."

Baseado em DOM: "Nos XSS baseados em DOM, os dados maliciosos não tocam no servidor web e está sendo refletida pelo código JavaScript, totalmente no lado do cliente."

fonte: https://pt.wikipedia.org/wiki/Cross-site_scripting