Web Security: CSRF Attacks and Prevention

Questions and Answers

Care este diferența principală între Cross-site scripting (XSS) și Cross-site request forgery (CSRF)?

• XSS este unidirecțional, în timp ce CSRF este bidirecțional.
• XSS permite unui atacator să execute JavaScript în browserul unei victime, în timp ce CSRF permite unui atacator să inducă o acțiune neintenționată pe un site web unde victima este autentificată. (correct)
• XSS permite unui atacator să preia controlul deplin asupra contului utilizatorului, în timp ce CSRF permite unui atacator să exfilteze date dintr-un domeniu extern.
• XSS permite unui atacator să inducă o acțiune neintenționată pe un site web, în timp ce CSRF permite unui atacator să execute JavaScript în browserul unei victime.

Care este implicarea principală a unui atac CSRF?

• Atacatorul poate exfiltra date dintr-un domeniu extern ales de acesta.
• Atacatorul poate induce utilizatorul să efectueze o acțiune neintenționată pe un site web unde este autentificat.
• Atacatorul poate prelua controlul deplin asupra contului utilizatorului. (correct)
• Atacatorul poate emite cereri HTTP și citi răspunsurile.

Care este una dintre condițiile necesare pentru realizarea unui atac CSRF?

• Utilizatorul să emită solicitări HTTP către aplicație pe baza cookie-urilor de sesiune.
• Acțiunea implicată să fie legată de gestionarea sesiunilor pe bază de cookie-uri. (correct)
• Aplicația să se bazeze numai pe cookie-uri de sesiune pentru a identifica utilizatorul care a făcut solicitările.
• Cererile care efectuează acțiunea să nu conțină parametri ale căror valori nu le poate determina sau ghici atacatorul.

Care este exemplul corect de atac CSRF prezentat în text?

Atacatorul creează o pagină web care să permită utilizatorului să schimbe adresa de e-mail din contul său. (B)

Ce reprezintă principalul pericol al unui atac CSRF?

Preluarea controlului deplin asupra contului utilizatorului. (A)

Care este definiția atacului CSRF?

Atacul în care un atacator forțează utilizatorul să trimită cereri neautorizate către un server web (D)

Care este principala diferență între atacurile XSS și atacurile CSRF?

XSS implică injectarea de scripturi malefice în paginile web, în timp ce CSRF implică forțarea utilizatorului să trimită cereri neautorizate către un server web (B)

Care dintre următoarele reprezintă condiții pentru realizarea unui atac CSRF?

Utilizatorul este autentificat pe site-ul web și are o sesiune activă (B)

Cum poate un atacator realiza un atac CSRF folosind un payload XSS?

Injectând un script malefic într-o pagină web vizitată de utilizator, astfel încât browser-ul acestuia să trimită cereri neautorizate către serverul site-ului web (B)

Care este principala funcție a tokenului CSRF în prevenirea acestui tip de atac?

Validează autenticitatea și integritatea cererilor trimise de la browser la server (C)

Flashcards are hidden until you start studying