Alternativa correta: C - certo

1. Tema central da questão

A questão aborda o conceito de CSRF (Cross-Site Request Forgery), um dos ataques mais comuns em segurança de aplicações web. Para responder corretamente, o aluno precisa compreender como o CSRF explora a autenticação pré-existente de um usuário em um site confiável, levando o navegador a realizar ações sem o consentimento do usuário.

2. Resumo teórico

No CSRF, um atacante aproveita que o usuário está autenticado em um sistema (por exemplo, um banco online) para induzir o navegador desse usuário a enviar uma requisição maliciosa — como transferir dinheiro ou alterar dados cadastrais. Essa ação ocorre sem que o usuário perceba e explora o fato de que navegadores enviam automaticamente cookies ou tokens de sessão para o site de destino. O ataque é possível porque o sistema não consegue diferenciar uma solicitação legítima de uma forjada.

Fonte: OWASP Top Ten, Cartilha de Segurança da Informação (CERT.br)

3. Justificativa da alternativa correta

A afirmativa está correta porque descreve exatamente como o ataque CSRF funciona: o navegador do usuário, já autenticado, pode ser induzido a executar comandos no sistema, sem o seu conhecimento. Exemplo prático: ao clicar em um link malicioso enquanto está logado em sua conta bancária, uma transferência pode ser realizada sem seu consentimento explícito.

4. Estratégias e dicas

Em questões deste tipo, observe palavras-chave como “sem o conhecimento do usuário” e “navegador autenticado”. Isso ajuda a distinguir CSRF de outros ataques, como XSS (que explora scripts no navegador, mas não depende de autenticação prévia).

Evite confundir CSRF com ataques que exigem apenas a interação do usuário, sem autenticação, ou que exigem ação consciente do usuário. CSRF atua silenciosamente em segundo plano!

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Gabarito Preliminar: Certo

Contudo, discordo do gabarito, veja que a afirmativa é bem coerente, entretanto existe um erro fundamental, o local da ação.

O CSRF explora a confiança que o servidor tem no usuário autenticado, tendo o servidor como alvo.

Já o XSS explora a confiança que o usuário tem no servidor, agora o navegador do usuário é o alvo do ataque.

Na questão, ele inverte isso ao dizer "a realizar ações maliciosas no sistema do usuário", elas não vão ser realizadas no sistema do usuário e sim no servidor, o navegador do usuário é apenas um meio do ataque.

Seria mais correto escrever, "induzido a realizar ações maliciosas pelo sistema do usuário"

Eu entendi que quando ele usou a palavra "sistema do usuário" ele estava se referindo à aplicação, por exemplo, internet banking, que, portanto, está hospedada no lado do servidor, e ele não menciona que é no navegador do usuário. Mas seria bom vermos a justificativa da banca depois caso mantenha o gabarito.

Item correto. O ataque CSRF explora a sessão ativa do usuário em um site. O navegador é enganado para enviar uma requisição forjada a esse site, executando ações indesejadas (como transferências ou alterações) em nome da vítima, sem que ela saiba ou consinta.

Siga-me @rexconcurseiro

Discordo do gabarito, esse ataque costuma ser feito direto na sessão ativa do navegador da vítima, não no sistema como um todo.

Em Segurança da Informação, CSRF (Cross-Site Request Forgery) é um tipo de ataque cibernético que força um usuário autenticado a executar ações indesejadas em uma aplicação web sem o seu conhecimento ou consentimento. Basicamente, um invasor explora a confiança que a aplicação web tem no usuário autenticado para realizar ações maliciosas em seu nome.