Ataques e ameaças
Envenenamento de cookies
Definição
Ataque que altera o conteúdo dos cookies HTTP antes de serem devolvidos à aplicação web, para alterar decisões de confiança, identidade ou lógica de negócio.
Exemplos
- Um utilizador altera o cookie role=user para role=admin e acede a páginas administrativas porque o servidor não verifica a integridade.
- Um e-commerce guarda o preço num cookie; o atacante muda-o antes do checkout e paga um cêntimo pelo artigo.
Termos relacionados
Sequestro de cookies
Roubo e reutilização dos cookies HTTP de um utilizador — geralmente de sessão ou autenticação — para o personificar perante uma aplicação web.
Sequestro de sessão
Ataque que assume a sessão autenticada de uma vítima ao roubar ou forjar o seu identificador de sessão, permitindo ao atacante agir como o utilizador sem as credenciais.
Manipulação de parâmetros
Ataque no qual o adversário modifica parâmetros em pedidos HTTP, cookies ou campos ocultos para manipular o comportamento da aplicação.
Controlo de acesso quebrado
Classe de vulnerabilidades em que as regras de autorização estão em falta ou são aplicadas incorretamente, permitindo a utilizadores ações ou dados fora dos seus privilégios.
Cross-Site Scripting (XSS)
Vulnerabilidade web que permite a um atacante injetar scripts maliciosos em páginas visitadas por outros utilizadores, executados no browser da vítima sob a origem do site.
Session Management
Session Management — definition coming soon.