A equipe de segurança da informação do TJRJ realizou um
pentest em uma aplicação web responsável pelo gerenciamento
de documentos. O pentester conseguiu manipular parâmetros de
uma requisição HTTP de forma a injetar um código Javascript
malicioso no servidor web. O código injetado foi
inadvertidamente inserido pelo servidor em meio a uma página
web devolvida a um usuário logado. O navegador web do usuário
logado executou o código malicioso e permitiu a exfiltração de
dados sensíveis.
Uma mitigação eficaz e imediata para esse tipo de ataque, em
conformidade com as recomendações do OWASP Top 10, é:

Question

A equipe de segurança da informação do TJRJ realizou um
pentest em uma aplicação web responsável pelo gerenciamento
de documentos. O pentester conseguiu manipular parâmetros de
uma requisição HTTP de forma a injetar um código Javascript
malicioso no servidor web. O código injetado foi
inadvertidamente inserido pelo servidor em meio a uma página
web devolvida a um usuário logado. O navegador web do usuário
logado executou o código malicioso e permitiu a exfiltração de
dados sensíveis.
Uma mitigação eficaz e imediata para esse tipo de ataque, em
conformidade com as recomendações do OWASP Top 10, é: Alternativa A: implementar um sistema de autenticação multifator (MFA)
para todos os usuários da aplicação; Ou Alternativa B: implementar um Web Application Firewall (WAF) com regras
de detecção de ataques XSS;  Ou Alternativa C: realizar uma análise estática do código-fonte da aplicação
para identificar e corrigir vulnerabilidades; Ou Alternativa D: utilizar Content Security Policy (CSP) para restringir as fontes
de onde o navegador pode carregar recursos; Ou Alternativa E: aplicar os devidos patches de segurança no servidor web e
bloquear o carregamento da página em navegadores
inseguros.

JOSI SANGUE NOS OLHOS · Accepted Answer

Alternativa [D] utilizar Content Security Policy (CSP) para restringir as fontes
de onde o navegador pode carregar recursos; A Política de Segurança de Conteúdo (CSP - Content Security Policy) é uma camada de segurança adicional recomendada pelo OWASP (especialmente no contexto de Configuração Incorreta de Segurança - A05:2021) para detectar e mitigar certos tipos de ataques, incluindo Cross-Site Scripting (XSS) e injeção de dados.  As recomendações da OWASP para implementação de CSP concentram-se em criar políticas restritivas que limitem a execução de scripts e o carregamento de recursos a fontes confiáveis. (Fonte IA)

🚀 Quer mais performance?

🚀 Quer mais performance?

A equipe de segurança da informação do TJRJ realizou um pen...

Comentários

Clique para visualizar este comentário

Questões de assuntos semelhantes

Provas relacionadas