Durante um hackathon de segurança, uma das equipes constru...

Com base no mesmo assunto

Ano: 2026 Banca: IF-SP Órgão: IF-SP Prova: IF-SP - 2026 - IF-SP - Analista de Tecnologia da Informação |

Q3853070 Segurança da Informação

Durante um hackathon de segurança, uma das equipes construiu rapidamente uma funcionalidade de comentários para um sistema de compras.

Para permitir o uso de formatação HTML nos comentários, o desenvolvedor implementou o se guinte template:

Q.44.png (410×222)

Após algum tempo, um usuário publicou o seguinte texto no conteúdo do comentário:

Q.44.1.png (410×151)

Outros usuários que acessaram a página tiveram transferências não autorizadas de suas contas.

Com base nesse cenário, qual opção explica a falha explorada, indicando o tipo de ataque e como corrigi-la sem perder a possibilidade de exibir algum HTML formatado nos comentários?

O ataque é um CSRF, pois o script realiza uma requisição POST autenticada. A correção é ativar o middleware de proteção CSRF e validar o token de cada requisição.

O ataque é um XSS, pois o código do comentário é executado no navegador de outros usuários. A correção é filtrar e limpar o HTML permitido (mantendo apenas tags seguras, como ou ).

O ataque é um XSS, pois o script é executa do logo após o envio do comentário. A correção é utilizar o auto-escape com a exibição do comentário realizada pelo código: {{ ultimo_comentario }}

É uma falha de validação de entrada por CSRF, pois o sistema não restringe o conteúdo do comentário. A correção é bloquear qualquer HTML e exibir apenas texto puro.

Incorreta. Gabarito oficial da banca:

Errou um tema comum da banca? Veja o que mais costuma cair no Raio-X. Ver raio-X

teste

Parabéns! Você acertou!

Essa questão segue o padrão da banca! Veja o que mais costuma cair. Ver raio-X

teste

🚀 Quer mais performance?

🚀 Quer mais performance?

Durante um hackathon de segurança, uma das equipes constru...

Questões de assuntos semelhantes

Provas relacionadas