Questões de Concurso

Considere uma aplicação em que um usuário efetua o login e, posteriormente, é redirecionado para uma tela principal. Isto poderia acontecer por meio de uma URL como a seguinte:

Nesta URL, idusuario indica a conta com a qual o usuário se autenticou no website.

Suponha, agora, que o usuário USER acessou a aplicação e não fez o logoff de sua sessão enquanto estava ativa. Após certo tempo, o usuário USER recebe um e-mail no qual um hacker se faz passar pela empresa que mantém o website. O e-mail fornece um link disfarçado que redireciona USER para uma URL como esta:

Note que o parâmetro usuario contém também uma referência para um arquivo Javascript localizado em outro website. Caso USER clique no link, o código existente no endereço externo solicitaria que ele informasse novamente sua senha e, em caso afirmativo, o atacante receberia a informação desejada, podendo também roubar outras informações presentes em cookies e na sessão ativa naquele instante.

A situação apresentada configura um ataque do tipo

(a)

Cross-Site Request Forgery (CSRF).

(b)

Cross-Site Scripting Request (CSSR).

(c)

Cross-Site DOM-Reflected (CSSDR).

(d)

Cross-Site Request Forgery-Automation Attack (CSRF-AA).

(e)

Cross-Site Scripting (XSS).