Acerca da gestão de segurança da informação, de métodos de ...

Próximas questões
Com base no mesmo assunto
Q3156982
Segurança da Informação Ataques e ameaças , Segurança de sistemas de informação , Autenticação ,
Ano: 2025 Banca: CESPE / CEBRASPE Órgão: PC-DF Prova: CESPE / CEBRASPE - 2025 - PC-DF - Gestor de Apoio as Atividades Policiais Civis - Especialidade: Analista de Informática: Rede de Computadores |
Q3156982 Segurança da Informação

Acerca da gestão de segurança da informação, de métodos de autenticação e de ameaças e vulnerabilidades em aplicações, julgue o item a seguir.


Um ataque do tipo cross-site request forgery tem como alvo funcionalidades que causem mudanças de estado no servidor de uma aplicação autenticada, como, por exemplo, alteração do endereço de e-mail ou da senha da vítima, ou realização de compras em nome da vítima.

Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Para compreender a questão, é importante conhecer o conceito de Cross-Site Request Forgery (CSRF). Este tipo de ataque ocorre quando uma aplicação web é abusada para executar ações indesejadas em nome de um usuário autenticado, sem o seu consentimento. O atacante geralmente engana o usuário para que ele clique em um link malicioso, fazendo com que a aplicação realize operações como alterar informações pessoais ou efetuar transações.

Alternativa Correta: C (Certo)

A afirmativa está correta porque descreve precisamente o funcionamento dos ataques CSRF. Esses ataques visam alterar o estado do servidor ou realizar ações em nome do usuário autenticado, sem o seu conhecimento. Exemplos incluem a mudança do endereço de e-mail, alteração de senha ou realização de compras, todos eles mencionados no enunciado.

Justificativa para a Alternativa Incorreta:

E (Errado) - Esta alternativa seria incorreta se a descrição do ataque estivesse errada ou se os exemplos dados não refletissem as ações possíveis de um ataque CSRF. No entanto, como o enunciado descreve corretamente o princípio dos ataques CSRF e suas consequências, esta alternativa não se aplica.

Estratégia para Resolver Questões Semelhantes:

Para interpretar corretamente questões sobre ataques de segurança, como CSRF, preste atenção nas palavras-chave que descrevem ações e impactos. Termine de ler o enunciado e as alternativas com cuidado, verificando se os exemplos dados são coerentes com o tipo de ataque descrito.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

CERTO

cross-site request forgery(CSRF/XSRF) é a falsificação de solicitação entre sites. Esse ataque funciona através da inclusão de um link ou script numa página que acede a um site no qual o utilizador tenha sido autenticado.

JUSTIFICATIVA - Certo. Os ataques de CSRF têm como alvo a funcionalidade que causa uma mudança de estado no servidor, como alterar o endereço de e-mail ou a senha da vítima, ou comprar algo. Forçar a vítima a recuperar dados não beneficia o invasor porque o invasor não recebe a resposta, a vítima recebe. Como tal, os ataques de CSRF têm como alvo solicitações de mudança de estado.

O mundo produz ondas. Surfar ou se afogar, você decide.

Gabarito: CERTO

Esse é justamente o objetivo do CSRF.

Nesse tipo de ataque, o atacante se aproveita de vulnerabilidades no sistema para explorar uma aplicação legitimamente autênticada porum usuário, de tal forma que o atacante realiza requisições do servidor e o servidor, por acreditar estar recebendo solicitações autênticas do usuário, as atende.

Imagine que você esteja realizando compras em um site que você esteja logado e que possua seu cartão de crédito salvo. O atacante consegue manipular os sistemas de segurança para que ele "invada" essa sessão autêntica e se passe por você. Dessa forma, ele conseguirá realizar tudo que um usuário legítimo é capaz de fazer, tais como: realizar compras, alterar senha, alterar endereço, cancelar pedidos etc.

Importante também destacar que outro ataque parecido é o SSRF (Server site request forgery). A única diferença entre os dois é que neste último, em vez de se passar pelo usuário, o atacante se passa pelo próprio servidor.

CSRF: "Ataque do Cavalo de Troia" - o ataque se aproveita de uma ação "inocente" da vítima para realizar outra ação maliciosa. Ele permite que um atacante realize por exemplo, transferências de fundos não autorizados, alteração de email, senha, realização de compras, dentre outros. (CSRaf/XSRF) é conduzido tipicamente com a ajuda da engenharia social, onde o atacante envia um email contendo um link para a vítima.

Cross-Site: "Cruzando sites" - o ataque envolve dois sites: o site confiável e o site malicioso.

* Request Forgery: "Requisição Falsificada" - o atacante falsifica uma requisição para o site confiável.

obs:>>. O objetivo do ataque é enganar o navegador para que ele execute ações indesejadas em um site onde o usuário está autenticado, sem o seu conhecimento ou consentimento.

Cross-Site Request Forgery (CSRF) é uma vulnerabilidade de segurança em que um atacante induz o usuário a executar ações não autorizadas em um site onde o usuário está autenticado.

Simplificando, é quando um invasor engana um usuário para que ele execute ações indesejadas em um site confiável.

Em português, CSRF pode ser traduzido como Falsificação de Solicitação entre Sites ou Falsificação de Requisição entre Sites.

Fonte: Microsoft Copilot

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas