Questão 4019874

4019874 Ano: 2026
Disciplina: TI - Segurança da Informação
Banca: IF-SP
Orgão: IF-SP

Provas:

Analista de TI
Provas ×

Ataques e Golpes e Ameaças

Durante um hackathon de segurança, uma das equipes construiu rapidamente uma funcionalidade de comentários para um sistema de compras.

Para permitir o uso de formatação HTML nos comentários, o desenvolvedor implementou o se guinte template:

Enunciado 4435274-1

Após algum tempo, um usuário publicou o seguinte texto no conteúdo do comentário:

Enunciado 4435274-2

Outros usuários que acessaram a página tiveram transferências não autorizadas de suas contas.

Com base nesse cenário, qual opção explica a falha explorada, indicando o tipo de ataque e como corrigi-la sem perder a possibilidade de exibir algum HTML formatado nos comentários?

O ataque é um CSRF, pois o script realiza uma requisição POST autenticada. A correção é ativar o middleware de proteção CSRF e validar o token de cada requisição.

O ataque é um XSS, pois o código do comentário é executado no navegador de outros usuários. A correção é filtrar e limpar o HTML permitido (mantendo apenas tags seguras, como ou ).

O ataque é um XSS, pois o script é executa do logo após o envio do comentário. A correção é utilizar o auto-escape com a exibição do comentário realizada pelo código: {{ ultimo_comentario }}

É uma falha de validação de entrada por CSRF, pois o sistema não restringe o conteúdo do comentário. A correção é bloquear qualquer HTML e exibir apenas texto puro.

Provas

Questão presente nas seguintes provas

Analista de TI

50 Questões

Provas

Analista de TI

Acesse sua Conta

Crie uma Conta