VAMOS AOS CONCEITOS PRIMEIRO:

Cross-Site Scripting (XSS) é uma vulnerabilidade de segurança em aplicações web em que um atacante consegue injetar scripts maliciosos (geralmente JavaScript) em páginas que serão exibidas para outros usuários.

WAF significa Web Application Firewall (Firewall de Aplicação Web).

Ele é um tipo de ferramenta de segurança projetada para proteger aplicações web (sites, portais, APIs) contra ataques que exploram vulnerabilidades no nível da aplicação.

Na prática, o WAF funciona como um “filtro” entre o usuário e o servidor da aplicação, analisando o tráfego HTTP/HTTPS antes que ele chegue ao sistema.

Na questão:

• Antes do WAF: probabilidade média + impacto alto → risco inicial.
• Após o WAF: a probabilidade cai de média para baixa, ou seja, houve um controle aplicado.
• Esse novo nível de risco, ainda sujeito à avaliação e decisão da organização, é o risco residual.

GABARITO LETRA D