Observe o cenário hipotético abaixo. I- DANI recebeu um e-m...

Próximas questões
Com base no mesmo assunto
Q1002599 Segurança da Informação

Observe o cenário hipotético abaixo.


I- DANI recebeu um e-mail oferecendo promoções por meio do link http://urlcurta.br/yhdkadkw, que é na verdade um acesso ao site http://malicioso.com.br;

II- DANI, por descuido e sem perceber, acessou o site http://malicioso.com.br, assim abriu uma porta do seu computador para um ATACANTE, o qual passou a “escutar” todo o tráfego de rede daquele computador;

III- DANI acessou http://interbank.com para realizar uma transferência bancária de 100 reais para MIG. A requisição, de uma maneira genérica, será feita da seguinte forma: GET /transfer.do?acct=MIG&amount=100 HTTP/1.1

IV- DANI resolveu transferir mais 50 reais à conta de MIG. A requisição que parte do navegador de DANI tem a seguinte característica: GET /transfer.do?acct=MIG&amount=50 HTTP/1.1

V- O ATACANTE observou as duas requisições realizadas e concluiu que uma transação simples poderia ser feita para sua conta se assumisse o seguinte formato: GET /transfer.do?acct=ATACANTE&amount=1000 HTTP/1.1

VI- O http://interbank.com de DANI manteve a informação de autenticação num cookie, e o cookie não expirou;

VII- O ATACANTE, com as informações necessárias, preparou e encaminhou um e-mail ao DANI com uma requisição maliciosa, por meio do seguinte link: <imgsrc=http://interbank.com/transfer.do?acct=ATACANTE&amount=1000 width=’T height="1" border="0">

VIII- DANI, ao abrir o novo e-mail do ATACANTE, e ao carregar a imagem, sem perceber qualquer aviso, o navegador submeteu a requisição maliciosa ao http://interbank.com sem qualquer indicação visual de que a transferência bancária de 1000 reais fora executada.


Diante do exposto, assinale a opção correta.

Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Vamos analisar a questão e entender o cenário apresentado. A alternativa correta para a situação descrita no enunciado é a alternativa D. Agora, vamos explorar o porquê disso.

Alternativa D - Cross Site Request Forgery (CSRF): O enunciado descreve um ataque no qual o atacante consegue induzir a vítima a realizar uma ação indesejada em um site onde está autenticada, sem que a vítima perceba. Isso é característico de um ataque CSRF. Os detalhes mencionam que o cookie de autenticação não expirou, permitindo que a requisição maliciosa feita pelo atacante seja aceita pelo site, pois a sessão ainda é válida. Este tipo de ataque explora um problema no mecanismo de gerenciamento de sessões do site.

Agora, vamos entender por que as outras alternativas estão incorretas:

Alternativa A - Spoofing e XSS: O cenário não descreve uma alteração ou falsificação de identidade (Spoofing) ou a execução de scripts não autorizados (XSS) no contexto da página do usuário. O ataque aqui é feito por meio de uma requisição legítima de um link malicioso, não por injeção de código.

Alternativa B - Phishing e DOS: Embora o ataque comece com uma tentativa de phishing, não há menção a um Denial of Service (DOS) no cenário descrito. O foco está na manipulação de uma requisição, não na interrupção do serviço.

Alternativa C - Rootkit: Um rootkit é uma ferramenta usada para obter acesso privilegiado a um computador, frequentemente de forma oculta. Não há menção de que o atacante tenha obtido acesso ao sistema dessa forma, mas sim por meio de uma manipulação de requisição.

Alternativa E - Defacement: Defacement refere-se à alteração não autorizada de uma página da web, geralmente para exibir mensagens do invasor. O enunciado não menciona qualquer alteração no conteúdo visual do site acessado por DANI.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Letra D

Defacement=Desconfiguração

Explora erros da aplicação e as vulnerabilidades do servidor de aplicação

"O cross-site request forgery (CSRF ou XSRF), em português falsificação de solicitação entre sites, também conhecido como ataque de um clique (one-click attack) ou montagem de sessão (session riding), é um tipo de exploit malicioso de um website, no qual comandos não autorizados são transmitidos a partir de um usuário em quem a aplicação web confia."

Cross site request forgery não é um novo ataque, mas é simples e devastador. Um ataque CSRF força o navegador logado da vítima a enviar uma requisição para uma aplicação web vulnerável, que realiza a ação desejada em nome da vítima. Esta vulnerabilidade é extremamente disseminada, uma vez que qualquer aplicação web:

• Não tenha verificação de autorização para ações vulneráveis

• Execute uma ação caso um login padrão seja enviado na requisição (ex. http://www.example.com/admin/doSomething.ctl?username=admin&passwd=admin)

• Autorize requisições baseadas somente em credenciais que são automaticamente submetidas como, por exemplo, cookie de sessão, caso logada corretamente na aplicação, ou a funcionalidade “Relembrar-me”, se não logado na aplicação, ou um token Kerberos, se parte de uma Intranet que tenha o logon integrado com o Active Directory.

Este tipo de aplicação estará em risco. Infelizmente, hoje, a maioria das aplicações web confia exclusivamente em credenciais submetidas automaticamente, como por exemplo, cookies de seção, credenciais de autenticação básica, endereço de IP de origem, certificados SSL ou credenciais de um domínio Windows. Esta vulnerabilidade é também conhecida por outros diversos nomes incluindo Session Riding, Ataques One-Click, Cross Site Reference Forgery, Hostile Linking e Automation Attack. O acrônimo XSRF é freqüentemente usado. Ambos a OWASP e o MITRE padronizaram o uso do termo Cross Site Request Forgery e CSRF. 

Fonte: OWASP

Defacement ou deface, como é conhecido popularmente, é um termo de origem inglesa para o ato de modificar ou danificar a superfície ou aparência de algum objeto. Na segurança da informação, é usado para categorizar os ataques realizados por defacers para modificar a página de um site na Internet.

Rootkit é uma coleção de software de computador, normalmente mal-intencionada, projetada para permitir o acesso privilegiado a um computador ou a uma área do software que não é permitida. O termo rootkit é a junção da palavra "root" e a palavra "kit".

Cross-site scripting é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que ativam ataques maliciosos ao injetarem client-side script dentro das páginas web vistas por outros usuários.

O cross-site request forgery, em português falsificação de solicitação entre sites, também conhecido como ataque de um clique ou montagem de sessão, é um tipo de exploit malicioso de um website, no qual comandos não autorizados são transmitidos a partir de um usuário em quem a aplicação web confia.

A resposta é CSRF só foi possível por causa do armazenamento dos cookies do navegador que estava com uma confiança junto ao site do banco e sendo possível alterar o cabeçalho.

Pergunta mal elaborada....

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo