Julgue o item que se segue, referente às vulnerabilidade de ...

Em um ataque de execução (ataque de injeção) de script entre sites (XSS), as entradas de dados de um programa interferem no fluxo de execução desse mesmo programa.

CESPE - JUSTIFICATIVA: ERRADO. O item descreve um ataque de injeção e não um ataque de execução. O nome ataque de injeção refere-se a uma variedade de falhas de programa relacionadas com o tratamento incorreto de dados de entrada. Especificamente, esse problema ocorre quando a entrada de dados de programa pode influenciar acidental ou deliberadamente o fluxo de execução do programa.Outra classe geral de vulnerabilidades refere-se a entradas fornecidas por um usuário a um programa que, subsequentemente, fornece como saída a entrada para outro usuário. Tais ataques são conhecidos como ataques de execução de script entre sites (cross-site scripting — XSS6), porque são mais comumente vistos em aplicações web escritas em linguagem de script.

O SCRIPT são vírus que podem ser usados para criar códigos maliciosos que são ATIVADOS TÃO LOGO quando vc acessa uma página onde eles estão escritos. O erro da questão está em afirmar que: interferem no fluxo de execução desse mesmo programa, onde isso não acontece apenas o vírus é ativado.

Alternativa: ERRADA

O XSS (Cross Site Scripting) é um ataque que pode ser feito na sua forma refletida (Reflected) ou sua forma persistente (Stored).

Trata-se da injeção de um código dentro da tag script (Stored XSS) em algum campo de input da aplicação (geralmente campos de comentários).

<script> código aqui </script>

Ao efetuar o comentário, a aplicação que contém uma falha de segurança (tratamento incorreto dos dados de entrada) salva o comentário com o código malicioso normalmente.

Diante disso, não é o ataque XSS quem executa o script, ele apenas injeta o código malicioso no servidor e este o executa no momento que há a requisição da página afetada.

Em um ataque de injeção de script entre sites (XSS), as entradas de dados de um programa interferem no fluxo de execução desse mesmo programa.

GABARITO: ERRADO.

Fonte: tecconcursos

JUSTIFICATIVA: ERRADO. O item descreve um ataque de injeção e não um ataque de execução. O nome ataque de injeção refere-se a uma variedade de falhas de programa relacionadas com o tratamento incorreto de dados de entrada. Especificamente, esse problema ocorre quando a entrada de dados de programa pode influenciar acidental ou deliberadamente o fluxo de execução do programa.Outra classe geral de vulnerabilidades refere-se a entradas fornecidas por um usuário a um programa que, subsequentemente, fornece como saída a entrada para outro usuário. Tais ataques são conhecidos como ataques de execução de script entre sites (cross-site scripting — XSS6), porque são mais comumente vistos em aplicações web escritas em linguagem de script

Interferiu no fluxo de execução da aplicação: injeção. A execução é só "exaurimento" do ataque, não compõe o ataque; é apenas consequência esperada da ação de um usuário desavisado.

Parafraseando o ministro que agradecemos qdo o vemos no supermercado: Jogou a granada no bolso do servidor de aplicação pra ele mesmo executar quando alguém requisitar a página alterada.

A execução do script em si não é um ataque, mas mero exaurimento do ataque kkkkkkk!!!

É tipo colocar explosivo acionável pelo sistema de ignição do carro: o ataque consiste na instalação do dispositivo; A explosão, assim que a vítima aciona a ignição do veículo, é só consequência da ação criminosa, pois a vítima nem sabia que haviam colocado uma bomba no carro.