Questão #5409 - IF-SP IF-SP - IF-SP - 2026 - IF-SP - Analista de Tecnologia da Informação - Segurança da Informação

Q5409 IF-SP - 2026 - IF-SP - Analista de Tecnologia da Informação

Ano: 2026

Órgão: IF-SP

Banca: IF-SP

Matéria: Segurança da Informação

Assunto: Ataques e ameaças

Durante um hackathon de segurança, uma das equipes construiu rapidamente uma funcionalidade de comentários para um sistema de compras. Para permitir o uso de formatação HTML nos comentários, o desenvolvedor implementou o se guinte template: Após algum tempo, um usuário publicou o seguinte texto no conteúdo do comentário: Outros usuários que acessaram a página tiveram transferências não autorizadas de suas contas. Com base nesse cenário, qual opção explica a falha explorada, indicando o tipo de ataque e como corrigi-la sem perder a possibilidade de exibir algum HTML formatado nos comentários?

A O ataque é um CSRF, pois o script realiza uma requisição POST autenticada. A correção é ativar o middleware de proteção CSRF e validar o token de cada requisição.

B O ataque é um XSS, pois o código do comentário é executado no navegador de outros usuários. A correção é filtrar e limpar o HTML permitido (mantendo apenas tags seguras, como ou ).

C O ataque é um XSS, pois o script é executa do logo após o envio do comentário. A correção é utilizar o auto-escape com a exibição do comentário realizada pelo código: {{ ultimo_comentario }}

D É uma falha de validação de entrada por CSRF, pois o sistema não restringe o conteúdo do comentário. A correção é bloquear qualquer HTML e exibir apenas texto puro.

Enviar Resposta