Ataque em que uma vulnerabilidade encontrada em um Web site ...

Alternativa Correta: D - Cross-Site Scripting (XSS)

Vamos analisar a questão e entender por que a resposta correta é a alternativa D - Cross-Site Scripting (XSS).

O enunciado descreve um tipo de ataque em que uma vulnerabilidade em um website permite a injeção de código malicioso em uma aplicação web. Quando os visitantes acessam a página infectada, o código malicioso é executado no navegador da vítima, possibilitando o roubo de cookies, execução de malware e exploração de outras vulnerabilidades do navegador. Este cenário é característico do XSS.

Justificativa da Alternativa Correta:

O Cross-Site Scripting (XSS) é um tipo de vulnerabilidade de segurança encontrada em aplicações web, onde um atacante consegue injetar scripts maliciosos no conteúdo que será entregue aos usuários. Essas injeções podem permitir que o script malicioso seja executado no contexto do navegador da vítima, levando ao roubo de informações como cookies, credenciais ou a execução de ações indesejadas. Esse tipo de ataque pode ser usado para:

• Roubo de cookies
• Execução de malware
• Exploração de vulnerabilidades do navegador

Justificativa das Alternativas Incorretas:

A - SQL Injection

O SQL Injection é um ataque que tem como objetivo explorar vulnerabilidades em consultas SQL feitas por uma aplicação web. Utilizando esta técnica, um atacante pode manipular a consulta SQL original para acessar ou modificar dados no banco de dados. Esse ataque não se enquadra no cenário descrito, pois não envolve a injeção de código que é executado no navegador do usuário.

B - Content Spoofing

O Content Spoofing envolve a manipulação de conteúdo exibido em uma aplicação web de forma a enganar o usuário. Por exemplo, alterando links ou mensagens exibidas no site. Embora relacionado à segurança web, esse ataque não necessariamente envolve a execução de código malicioso no navegador da vítima como o XSS faz.

C - Session Hijacking

O Session Hijacking refere-se à apropriação de uma sessão de usuário ativa para obter acesso não autorizado. Isso pode ser realizado através da interceptação de cookies de sessão, mas o método de ataque descrito no enunciado não se encaixa nesse tipo de ataque, pois não descreve o roubo de sessões ativas diretamente.

E - Cross-Site Request Forgery (CSRF)

O Cross-Site Request Forgery (CSRF) é um ataque onde o usuário é induzido a executar ações indesejadas em uma aplicação web na qual está autenticado. O CSRF não envolve necessariamente a injeção de código que é executado no contexto do navegador do usuário, mas sim a execução de solicitações não autorizadas. Portanto, não se alinha perfeitamente com o cenário dado no enunciado.

Em resumo, a alternativa D - Cross-Site Scripting (XSS) é a resposta correta, pois descreve exatamente o tipo de ataque em que código malicioso é injetado e executado no navegador da vítima, resultando em diversas possíveis explorações de segurança.

Gabarito D

Cross-site Scripting (XSS) é um tipo de ataque de injeção de código malicioso em aplicações web, classificado entre as principais vulnerabilidades no OWASP Top 10 2017. Por exemplo, um atacante aproveita uma dada vulnerabilidade em um website considerado confiável pelos seus visitantes para instalar um script que irá executar ações maliciosas como copiar cookies, tokens ou roubar dados de acesso registrados no navegador web do usuário.

Em geral, o ataque acontece em função de falha na validação dos dados de entrada do usuário e a resposta do servidor Web. Dificilmente um usuário será capaz de identificar a falha na comunicação entre a entrada de dados no navegador e a resposta do servidor de destino.

"Retroceder Nunca Render-se Jamais !"

Força e Fé !

Fortuna Audaces Sequitur !

d-

exemplo/definição acerca de corss-site scripting (reddit/security)

If the website doesn't handle comments properly, someone could sneak in harmful code (like a script) instead of just regular text. When you or other users visit the page with the bad comment, the harmful code runs in your browser. This code can do things like steal your data, mess with the website's appearance, or trick you into revealing sensitive information.