Uma empresa de consultoria em segurança, após realizar um pentest em um servidor web de um Tribunal, recomendou a implementação do HTTP Security Headers Content-Security-Policy (CSP) e Strict-Transpor

Question

Uma empresa de consultoria em segurança, após realizar um pentest em um servidor web de um Tribunal, recomendou a implementação do HTTP Security Headers Content-Security-Policy (CSP) e Strict-Transport-Security (HSTP) como boas práticas para mitigar riscos cibernéticos.

Considerando essas orientações, um analista solicitou a um técnico a implementação e explicou corretamente a finalidade e o impacto desses cabeçalhos de segurança:

Accepted Answer

O HSTS força o uso de HTTPS em todas as conexões futuras, evitando downgrade para HTTP, e o CSP restringe fontes de conteúdo executável (scripts, CSS etc.) para prevenir ataques de injeção.

Answer

O CSP substitui a necessidade de um WAF (Web Application Firewall), e o HSTP elimina vulnerabilidades de SQL Injection.

Answer

O CSP bloqueia apenas ataques de força bruta, e o HSTP impede o acesso a redes Wi‑Fi públicas.

Answer

O CSP permite o carregamento de recursos de origem cruzada (cross-origin), reduzindo o risco de ataque via data exfiltration, enquanto o HSTS assegura que cookies de sessão sejam transmitidos apenas por canais criptografados.

Answer

Ambos os cabeçalhos (CSP e HSTS) são usados para criptografar dados em repouso, reduzindo custos de segurança no servidor web.

Questão de TIC - Segurança 2025