Acerca da gestão de segurança da informação, de métodos de a...

Próximas questões
Com base no mesmo assunto
Q3156760 Segurança da Informação

Acerca da gestão de segurança da informação, de métodos de autenticação e de ameaças e vulnerabilidades em aplicações, julgue o item a seguir.


Um ataque do tipo cross-site request forgery tem como alvo funcionalidades que causem mudanças de estado no servidor de uma aplicação autenticada, como, por exemplo, alteração do endereço de e-mail ou da senha da vítima, ou realização de compras em nome da vítima.

Alternativas

Comentários

Veja os comentários dos nossos alunos

CSRF é um dos ataques mais conhecidos, existe desde a “fundação” da Web. Ele ocorre quando uma requisição  é feita entre sites na tentativa de se passar por um usuário legítimo. Quem se utiliza desse tipo de ataque normalmente foca em fazê-lo esperando que usuário alvo esteja autenticado no site onde a requisição fraudulenta será realizada, a fim de se ter mais privilégios e acessos à operações.

É mais simples entender se imaginarmos esse clássico cenário:

1) Você loga no site do seu banco usando o seu navegador preferido.

A credencial do usuário é validada, um cookie é enviado na resposta da requisição HTTP. A partir desse momento, o navegador tem salvo no disco o cookie que te mantém autenticado.

2) Você recebe um e-mail (engenharia social) que te convence a clicar em um link que abre um site arbitrário;

3) Ao entrar nesse site, no corpo dele, tem um formulário.

Esse formulário no site do atacante emula exatamente como o seu banco faz para realizar uma transferência de dinheiro. Em seguida, em algum momento, esse site arbitrário submete o formulário usando JavaScript:

É daí que vem o nome “Cross-Site Request Forgery”. Foi forjada uma requisição Cross-Site, de um site para outro.

A requisição forjada não é exatamente o problema, mas sim o fato de o seu navegador ter enviado junto com ela aquele cookie da autenticação e o site do seu banco achará que foi você quem solicitou a transferência.

Há de ressaltar, ainda, que esse exemplo é apenas uma das formas de ataques de CSRF. Outra muito importante e explorada é quando se tem alguma vulnerabilidade de XSS onde, por exemplo, o atacante consegue injetar um JavaScript malicioso na página do seu site a partir de um formulário de comentário que não trata os dados recebidos, muito menos escapa na hora de imprimir no HTML.

FONTE: https://www.treinaweb.com.br/blog/cross-site-request-forgery-csrf-e-abordagens-para-mitiga-lo

Massa de informações

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo