¿Qué es una arquitectura de aplicaciones web? Un conjunto de herramientas de diseño gráfico Un conjunto de herramientas de programación Un conjunto de patrones y prácticas para diseñar y construir aplicaciones web Un conjunto de herramientas de seguridad .
¿Cuál es el objetivo principal de una arquitectura de aplicaciones web? Hacer que las aplicaciones sean más lentas Hacer que las aplicaciones sean más difíciles de usar Hacer que las aplicaciones sean más seguras y escalables Hacer que las aplicaciones sean más inseguras .
¿Qué es una arquitectura cliente-servidor? Una arquitectura en la que el cliente y el servidor son la misma cosa Una arquitectura en la que el cliente y el servidor son dos cosas diferentes y se comunican entre sí Una arquitectura en la que el cliente y el servidor no se comunican entre sí Una arquitectura en la que el cliente y el servidor son dos cosas diferentes pero no se comunican entre sí .
¿Qué es una arquitectura basada en microservicios? Una arquitectura en la que todas las funciones están en un solo servicio Una arquitectura en la que las funciones se dividen en pequeños servicios independientes que se comunican entre sí Una arquitectura en la que las funciones se dividen en grandes servicios independientes que no se comunican entre sí Una arquitectura en la que las funciones se dividen en pequeños servicios dependientes que no se comunican entre sí .
¿Por qué es importante elegir la arquitectura adecuada para una aplicación web? Porque no importa qué arquitectura se elija Porque la elección de la arquitectura puede afectar la seguridad, escalabilidad y mantenibilidad de la aplicación Porque la elección de la arquitectura no tiene ningún impacto en la aplicación Porque la elección de la arquitectura solo afecta la velocidad de la aplicación.
¿Qué es la arquitectura de aplicación web clásica? Una arquitectura en la que todas las funciones están en un solo servicio Una arquitectura en la que las funciones se dividen en pequeños servicios independientes que se comunican entre sí Una arquitectura en la que las funciones se dividen en grandes servicios independientes que no se comunican entre sí Una arquitectura en la que las funciones se dividen en capas que se comunican entre sí .
¿Cuáles son las capas de la arquitectura de aplicación web clásica? Capa de seguridad, capa de presentación y capa de datos Capa de cliente, capa de aplicación y capa de servidor Capa de presentación, capa de aplicación y capa de datos Capa de cliente, capa de aplicación y capa de datos.
¿Qué es la capa de cliente en la arquitectura de aplicación web clásica? La capa que contiene la lógica de negocio y de presentación La capa que contiene el navegador web La capa que contiene el servidor de aplicación La capa que contiene la base de datos.
¿Qué es la capa de aplicación en la arquitectura de aplicación web clásica? La capa que contiene la lógica de negocio y de presentación La capa que contiene el navegador web La capa que contiene el servidor de aplicación La capa que contiene la base de datos .
¿Qué es la capa de datos en la arquitectura de aplicación web clásica? La capa que contiene la lógica de negocio y de presentación La capa que contiene el navegador web La capa que contiene el servidor de aplicación La capa que contiene la base de datos.
¿Qué significa RIA? Rich Internet Application Remote Internet Access Rapid Internet Application Responsive Internet Architecture .
¿Qué tecnologías se utilizan en las arquitecturas de aplicaciones RIA? HTML y CSS Javascript y XML XHTML y DOM Todas las anteriores .
¿Qué es AJAX? Un conjunto de tecnologías que incluyen Javascript asíncrono junto con XML, XSLT, XHTML, y DOM Un conjunto de tecnologías que incluyen HTML y CSS Un conjunto de tecnologías que incluyen PHP y MySQL Un conjunto de tecnologías que incluyen Java y Spring.
¿Cuál es el objetivo principal de las aplicaciones RIA? Hacer que las aplicaciones sean más lentas Hacer que las aplicaciones sean más difíciles de usar Hacer que las aplicaciones sean más seguras y escalables Eliminar la naturaleza start-stop-start-stop de la interacción entre el cliente y el servidor de aplicaciones web.
¿Qué es la arquitectura de 3 capas de aplicaciones web? Una arquitectura en la que todas las funciones están en un solo servicio Una arquitectura en la que las funciones se dividen en pequeños servicios independientes que se comunican entre sí Una arquitectura en la que las funciones se dividen en grandes servicios independientes que no se comunican entre sí Una arquitectura en la que las funciones se dividen en capas que se comunican entre sí, incluyendo la capa de presentación, la capa de aplicación y la capa de datos .
¿Qué es el patrón de diseño lógico MVC? Un patrón de diseño para la creación de bases de datos Un patrón de diseño para la creación de interfaces de usuario Un patrón de diseño para la creación de aplicaciones web Un patrón de diseño para la creación de redes de computadoras .
¿Cuáles son las tres capas del patrón de diseño lógico MVC? Modelo, Vista y Controlador Presentación, Aplicación y Datos HTML, CSS y Javascript Cliente, Servidor y Base de Datos .
¿Qué es el Modelo en el patrón de diseño lógico MVC? La capa que se ocupa de generar la presentación al usuario en aplicaciones web La capa que se ocupa de recoger las peticiones de los usuarios La capa que se ocupa de los datos que necesita la aplicación y los accesos a los mismos La capa que se ocupa de seleccionar el código de aplicación o lógica de negocio encargado de servir las peticiones de los usuarios .
¿Qué es la Vista en el patrón de diseño lógico MVC? La capa que se ocupa de generar la presentación al usuario en aplicaciones web La capa que se ocupa de recoger las peticiones de los usuarios La capa que se ocupa de los datos que necesita la aplicación y los accesos a los mismos La capa que se ocupa de seleccionar el código de aplicación o lógica de negocio encargado de servir las peticiones de los usuarios .
¿Qué es el Controlador en el patrón de diseño lógico MVC? La capa que se ocupa de generar la presentación al usuario en aplicaciones web La capa que se ocupa de recoger las peticiones de los usuarios La capa que se ocupa de los datos que necesita la aplicación y los accesos a los mismos La capa que se encarga de seleccionar el código de aplicación o lógica de negocio encargado de servir las peticiones de los usuarios.
¿Qué es la Política de Seguridad? Un conjunto de reglas y procedimientos que establecen cómo se deben proteger los sistemas y datos de una organización Un conjunto de herramientas de seguridad informática Un conjunto de vulnerabilidades y amenazas a la seguridad informática Un conjunto de estándares de seguridad informática.
¿Qué es NIST SP 800-53. Rev4? Un conjunto de controles de seguridad y recomendaciones para sistemas de información y organizaciones federales Un modelo de mejora continua basado en la monitorización constante del sistema Un conjunto de herramientas de seguridad informática Un modelo de evaluación de riesgos de seguridad de la información .
¿Cuál es el objetivo de NIST SP 800-53. Rev4? Abordar los problemas de seguridad de las organizaciones relacionadas con el diseño, desarrollo, implementación, operación y la disponibilidad de los sistemas de información y los entornos en los que operan dichos sistemas Proporcionar un conjunto de herramientas de seguridad informática Evaluar los riesgos de seguridad de la información Proporcionar un modelo de mejora continua basado en la monitorización constante del sistema .
¿Cuál es el primer paso del Risk Management Framework (RMF) del NIST? Clasificar el sistema de información basado en una evaluación de impacto (FIPS publicación 199) Seleccionar los controles de seguridad básicos aplicables en base a los resultados de la clasificación de seguridad y aplicar la adaptación de orientación (incluyendo el uso potencial de superposiciones) Aplicar los controles de seguridad y documentar el diseño, desarrollo y detalles de la implementación de los controles Evaluar los controles de seguridad para determinar el grado en que los controles están implementados correctamente, operando como se pretendía y produciendo el resultado deseado con respecto al cumplimiento de los requisitos de seguridad del sistem.
¿Cuál es el segundo paso del Risk Management Framework (RMF) del NIST? Seleccionar los controles de seguridad básicos aplicables en base a los resultados de la clasificación de seguridad y aplicar la adaptación de orientación (incluyendo el uso potencial de superposiciones)
Clasificar el sistema de información basado en una evaluación de impacto (FIPS publicación 199) Aplicar los controles de seguridad y documentar el diseño, desarrollo y detalles de la implementación de los controles Evaluar los controles de seguridad para determinar el grado en que los controles están implementados correctamente, operando como se pretendía y produciendo el resultado deseado con respecto al cumplimiento de los requisitos de seguridad del sistem.
¿Cuántos pasos conforman el Risk Management Framework (RMF) del NIST? 4 5 6 7.
¿Cuáles son los 6 pasos del Risk Management Framework (RMF) del NIST? Clasificar, seleccionar, aplicar, evaluar, autorizar, supervisar Planificar, hacer, controlar, actuar Identificar, proteger, detectar, responder, recuperar Prevenir, detectar, responder, recuperar .
¿Qué significa SSDLC? Seguridad de Desarrollo de Lenguaje de Código Ciclo de Vida de Desarrollo de Software Seguro Seguridad de Desarrollo de Lenguaje de Programación Seguridad de Desarrollo de Sistemas .
¿Qué es el ciclo de vida de desarrollo seguro de software (SSDLC)? Un proceso que garantiza la seguridad de los sistemas operativos Un proceso que garantiza la seguridad de las aplicaciones web Un proceso que garantiza la seguridad de las redes de comunicación Un proceso que garantiza la seguridad de los dispositivos móviles .
¿Qué actividades se deben llevar a cabo en un proceso SSDLC? Derivar los requisitos de seguridad, diseñar y desarrollar la aplicación, implementar y probar la seguridad, y desplegar la aplicación Diseñar y desarrollar la aplicación, implementar y probar la seguridad, desplegar la aplicación y supervisar la seguridad Derivar los requisitos de seguridad, implementar y probar la seguridad, desplegar la aplicación y supervisar la seguridad Derivar los requisitos de seguridad, diseñar y desarrollar la aplicación, y supervisar la seguridad .
¿Qué es el modelo de SSDLC de MacGraw? Un modelo de ciclo de vida de desarrollo de software que especifica las actividades y pruebas de seguridad a efectuar en cada fase del mismo Un modelo de ciclo de vida de desarrollo de software que se enfoca en la usabilidad y experiencia del usuario Un modelo de ciclo de vida de desarrollo de software que se enfoca en la eficiencia y rendimiento del sistema Un modelo de ciclo de vida de desarrollo de software que se enfoca en la integración de sistemas y bases de datos .
¿Qué herramientas se pueden utilizar para la monitorización continua? Firewalls de Aplicaciones Web (WAF), Sistemas de Detección/Protección de Intrusiones (IDS/IPS) y Sistemas de Gestión de Eventos de Seguridad (SIEM) Antivirus, comprobadores de integridad de ficheros o dispositivos, escáneres de vulnerabilidades Análisis forense, sistemas de recuperación y backup, análisis de logs Todas las anteriores .
¿Qué es el procedimiento de gestión de incidentes de seguridad? Un procedimiento que se lleva a cabo en la fase de producción dentro del SSDLC y forma parte del proceso de monitorización continua Un procedimiento que se lleva a cabo en la fase de diseño y desarrollo dentro del SSDLC y forma parte del proceso de implementación de la seguridad Un procedimiento que se lleva a cabo en la fase de despliegue dentro del SSDLC y forma parte del proceso de pruebas de seguridad Un procedimiento que se lleva a cabo en la fase de producción dentro del SSDLC y forma parte del proceso de respuesta ante incidentes de seguridad.
¿Qué es OWASP? Una organización que se dedica a la creación de estándares de seguridad para aplicaciones web Una herramienta de análisis de vulnerabilidades Un protocolo de seguridad para bases de datos Un lenguaje de programación para aplicaciones web .
¿Qué es el estándar PCI DSS? Un estándar de seguridad para la industria de tarjetas de pago Un estándar de seguridad para la industria de la salud Un estándar de seguridad para la industria de la energía Un estándar de seguridad para la industria de la educación.
¿Qué es el estándar NIST? Es un organismo de Estados Unidos que se encarga de promover la innovación y la competitividad industrial mediante el desarrollo y la aplicación de estándares y tecnologías Es un organismo de Estados Unidos que se encarga de promover la innovación y la competitividad industrial mediante el desarrollo y la aplicación de estándares para la industria de la banca Es un organismo de Estados Unidos que se encarga de promover la innovación y la competitividad industrial mediante el desarrollo y la aplicación de estándares de la aviación Es un organismo de Estados Unidos que se encarga de promover la innovación y la competitividad industrial mediante el desarrollo y la aplicación de estándares la alimentación .
¿Qué es el estándar CIS Controls? Un conjunto de controles de seguridad para la protección de sistemas de información Un conjunto de controles de seguridad para la protección de redes de comunicaciones Un conjunto de controles de seguridad para la protección de sistemas operativos Un conjunto de controles de seguridad para la protección de bases de datos .
¿Qué es el estándar WASC? Un consorcio que se dedica a la creación de estándares de seguridad para aplicaciones web Una herramienta de análisis de vulnerabilidades Un protocolo de seguridad para bases de datos Un lenguaje de programación para aplicaciones web .
¿Qué es el estándar CWE MITRE? Una lista de debilidades de seguridad comunes en software Un estándar de seguridad para la industria de tarjetas de pago Un estándar de seguridad para la gestión de la seguridad de la información Un conjunto de controles de seguridad para la protección de sistemas de información .
¿Qué es el estándar SANS? Una organización que se dedica a la creación de estándares de seguridad para aplicaciones web Una organización que se dedica a la formación y concienciación en seguridad informática Un estándar de seguridad para la gestión de la seguridad de la información Un conjunto de controles de seguridad para la protección de sistemas de información .
¿Qué es el estándar CNI-CCN-CERT? Un conjunto de controles de seguridad para la protección de sistemas de información Una organización que se dedica a la creación de estándares de seguridad para aplicaciones web Un estándar de seguridad para la gestión de la seguridad de la información Un centro de respuesta ante incidentes de seguridad del Centro Criptológico Nacional del Centro Nacional de Inteligencia de España.
¿Qué es el estándar INCIBE? Un conjunto de controles de seguridad para la protección de sistemas de información Una organización que se dedica a la creación de estándares de seguridad para aplicaciones web Un estándar de seguridad para la gestión de la seguridad de la información Un centro nacional de referencia en ciberseguridad.
¿Qué son las vulnerabilidades de inyección? Son vulnerabilidades que permiten a un atacante ejecutar código malicioso en el servidor Son vulnerabilidades que permiten a un atacante obtener información confidencial del servidor Son vulnerabilidades que permiten a un atacante modificar datos en la base de datos Son vulnerabilidades que permiten a un atacante interceptar tráfico de red .
¿Qué son las vulnerabilidades de autenticación? Son vulnerabilidades que permiten a un atacante obtener información confidencial del servidor Son vulnerabilidades que permiten a un atacante modificar datos en la base de datos Son vulnerabilidades que permiten a un atacante ejecutar código malicioso en el servidor Son vulnerabilidades que permiten a un atacante acceder a un sistema sin autenticación válida.
¿Qué son las vulnerabilidades de cross-site scripting (XSS)? Son vulnerabilidades que permiten a un atacante obtener información confidencial del servidor Son vulnerabilidades que permiten a un atacante modificar datos en la base de datos Son vulnerabilidades que permiten a un atacante ejecutar código malicioso en el servidor Son vulnerabilidades que permiten a un atacante inyectar código malicioso en una página web.
¿Qué son las vulnerabilidades de inyección de SQL? Son vulnerabilidades que permiten a un atacante obtener información confidencial del servidor Son vulnerabilidades que permiten a un atacante modificar datos en la base de datos Son vulnerabilidades que permiten a un atacante ejecutar código malicioso en el servidor Son vulnerabilidades que permiten a un atacante inyectar código SQL malicioso en una consulta.
¿Qué son las vulnerabilidades de desbordamiento de búfer? Son vulnerabilidades que permiten a un atacante obtener información confidencial del servidor Son vulnerabilidades que permiten a un atacante modificar datos en la base de datos Son vulnerabilidades que permiten a un atacante ejecutar código malicioso en el servidor Son vulnerabilidades que permiten a un atacante sobrescribir áreas de memoria adyacentes.
¿Qué son las vulnerabilidades de inclusión de archivos? Son vulnerabilidades que permiten a un atacante obtener información confidencial del servidor Son vulnerabilidades que permiten a un atacante modificar datos en la base de datos Son vulnerabilidades que permiten a un atacante ejecutar código malicioso en el servidor Son vulnerabilidades que permiten a un atacante incluir archivos externos en una página web.
¿Qué son las vulnerabilidades de manipulación de cookies? Son vulnerabilidades que permiten a un atacante obtener información confidencial del servidor Son vulnerabilidades que permiten a un atacante modificar datos en la base de datos Son vulnerabilidades que permiten a un atacante ejecutar código malicioso en el servidor Son vulnerabilidades que permiten a un atacante manipular cookies para obtener acceso no autorizado.
¿Qué son las vulnerabilidades de validación de entrada? Son vulnerabilidades que permiten a un atacante obtener información confidencial del servidor Son vulnerabilidades que permiten a un atacante modificar datos en la base de datos Son vulnerabilidades que permiten a un atacante ejecutar código malicioso en el servidor Son vulnerabilidades que permiten a un atacante enviar datos maliciosos a una aplicación web.
¿Qué son las vulnerabilidades de exposición de información? Son vulnerabilidades que permiten a un atacante obtener información confidencial del servidor Son vulnerabilidades que permiten a un atacante modificar datos en la base de datos Son vulnerabilidades que permiten a un atacante ejecutar código malicioso en el servidor Son vulnerabilidades que permiten a un atacante interceptar tráfico de red .
¿Qué es la lista CVE? Una lista de vulnerabilidades de software comunes Una lista de vulnerabilidades de hardware comunes Una lista de vulnerabilidades de sistemas operativos comunes Una lista de vulnerabilidades de seguridad comunes con identificadores únicos.
¿Qué es la lista NVD? Una lista de vulnerabilidades de software comunes Una lista de vulnerabilidades de hardware comunes Una lista de vulnerabilidades de sistemas operativos comunes Una lista de vulnerabilidades de seguridad comunes con información detallada y herramientas de evaluación.
¿Qué es la lista OWASP Top Ten? Una lista de las diez vulnerabilidades de seguridad más críticas en aplicaciones web Una lista de las diez vulnerabilidades de seguridad más críticas en sistemas operativos Una lista de las diez vulnerabilidades de seguridad más críticas en hardware Una lista de las diez vulnerabilidades de seguridad más críticas en redes .
¿Qué es la lista SANS Top 25? Una lista de las veinticinco vulnerabilidades de seguridad más críticas en aplicaciones web Una lista de las veinticinco vulnerabilidades de seguridad más críticas en sistemas operativos Una lista de las veinticinco vulnerabilidades de seguridad más críticas en hardware Una lista de las veinticinco vulnerabilidades de seguridad más críticas en redes.
¿Qué es la lista CWE? Una lista de vulnerabilidades de software comunes Una lista de vulnerabilidades de hardware comunes Una lista de debilidades de software comunes que pueden conducir a vulnerabilidades de seguridad Una lista de debilidades de hardware comunes que pueden conducir a vulnerabilidades de seguridad .
¿Qué es la lista CAPEC? Una lista de vulnerabilidades de software comunes Una lista de vulnerabilidades de hardware comunes Una lista de patrones de ataque comunes que pueden ser utilizados para explotar vulnerabilidades de seguridad Una lista de herramientas de evaluación de vulnerabilidades de seguridad .
¿Qué es la lista Exploit Database? Una lista de vulnerabilidades de software comunes Una lista de vulnerabilidades de hardware comunes Una lista de exploits de seguridad conocidos que pueden ser utilizados para explotar vulnerabilidades de seguridad Una lista de herramientas de evaluación de vulnerabilidades de seguridad .
¿Qué es la lista Common Weakness Scoring System (CWSS)? Una lista de vulnerabilidades de software comunes Una lista de vulnerabilidades de hardware comunes Un sistema de puntuación que evalúa la gravedad de las debilidades de software identificadas en la lista CWE Un sistema de puntuación que evalúa la gravedad de las vulnerabilidades de seguridad identificadas en la lista CVE.
¿Qué significa HTTP? HyperText Transfer Protocol HyperText Transmission Protocol HyperText Translation Protocol HyperText Transaction Protocol .
¿Qué es una petición HTTP? Una solicitud que un cliente envía a un servidor para obtener información o realizar una acción Una respuesta que un servidor envía a un cliente con información solicitada Una solicitud que un servidor envía a un cliente para obtener información o realizar una acción Una respuesta que un cliente envía a un servidor con información solicitada .
¿Qué es una respuesta HTTP? Una solicitud que un cliente envía a un servidor para obtener información o realizar una acción Una respuesta que un servidor envía a un cliente con información solicitada Una solicitud que un servidor envía a un cliente para obtener información o realizar una acción Una respuesta que un cliente envía a un servidor con información solicitada .
¿Qué es una cookie HTTP? Un archivo de texto que se almacena en el navegador del cliente y se utiliza para recordar información sobre el usuario Un archivo de texto que se almacena en el servidor y se utiliza para recordar información sobre el usuario Un archivo de imagen que se almacena en el navegador del cliente y se utiliza para recordar información sobre el usuario Un archivo de imagen que se almacena en el servidor y se utiliza para recordar información sobre el usuario .
¿Qué método HTTP se utiliza para solicitar una representación de un recurso? GET HEAD POST PUT.
¿Qué método HTTP se utiliza para solicitar información sobre los encabezados de respuesta de un recurso? GET HEAD POST PUT.
¿Qué método HTTP se utiliza para enviar datos a un servidor para crear o actualizar un recurso? GET HEAD POST PUT .
¿Qué método HTTP se utiliza para actualizar un recurso existente en un servidor? GET HEAD POST PUT.
¿Qué método HTTP se utiliza para solicitar una ruta de red entre el cliente y el servidor? TRACE OPTIONS CONNECT DELETE.
¿Qué es OWASP Top Ten? Un estándar de seguridad para aplicaciones web Una lista de las 10 vulnerabilidades de seguridad más comunes en aplicaciones web Un protocolo de transferencia de archivos Una herramienta de análisis de vulnerabilidades .
¿Cuál es la vulnerabilidad más común en las aplicaciones web según OWASP Top Ten? Inyección de código Autenticación y gestión de sesiones Cross Site Scripting (XSS) Todas las anteriores .
¿Qué es la inyección de código? Una vulnerabilidad que permite a un atacante ejecutar código malicioso en el servidor Una vulnerabilidad que permite a un atacante obtener información confidencial del servidor Una vulnerabilidad que permite a un atacante modificar datos en la base de datos Todas las anteriores.
¿Qué puede hacer un atacante mediante SQL injection? Modificar consultas y acceder a registros u objetos de la base de datos Acceder a identificadores de usuarios privilegiados y cambiar las credenciales Ejecutar acciones destructivas como el borrado de datos o la parada de servicios Todas las anteriores .
¿Qué es HTTP response splitting? Una vulnerabilidad que permite a un atacante ejecutar código malicioso en el servidor Una vulnerabilidad que permite a un atacante obtener información confidencial del servidor Una vulnerabilidad que permite a un atacante inyectar caracteres \r\n en una respuesta HTTP Todas las anteriores .
¿Qué puede hacer un atacante mediante HTTP response splitting? Inyectar código HTML en una respuesta HTTP Redirigir a un usuario a un sitio web malicioso Robar información confidencial del usuario Todas las anteriores.
¿Qué es CWE 113? Una vulnerabilidad de inyección de código Una vulnerabilidad de desbordamiento de búfer Una vulnerabilidad de HTTP response splitting Ninguna de las anteriores .
¿Cuál es uno de los objetivos principales en el diseño de la seguridad de una aplicación web? Implementar múltiples errores y excepciones Conocer las vulnerabilidades sin implementar defensas Proveer comunicación segura entre las capas de la aplicación No implementar controles de identidad y autenticación .
¿Qué tipo de seguridad se debe considerar en el sistema operativo plataforma para garantizar la seguridad del cliente? Gestión segura de la autenticación Tamaño del disco duro Número de núcleos del procesador Color del fondo de pantalla .
¿Cuál es uno de los elementos clave para el diseño seguro de la autenticación en los servidores de aplicaciones web? Velocidad de conexión a Internet Implementación de controles de identidad y autenticación Número de usuarios registrados en la aplicación Tamaño del disco duro del servidor.
¿Cuál es uno de los objetivos prioritarios en la seguridad de los sistemas gestores de bases de datos? Asegurar la velocidad de acceso a los datos Garantizar la integridad, confidencialidad y disponibilidad de los datos Maximizar el espacio de almacenamiento de la base de datos Optimizar la eficiencia del procesamiento de consultas .
¿Qué se debe asegurar en las comunicaciones entre las capas de una aplicación web? La popularidad de la aplicación La velocidad de carga de la página La confidencialidad e integridad de los datos El tamaño del logo de la aplicación.
¿Qué proyecto de diseño seguro de aplicaciones web es mencionado como referencia ? OWASP Application Security Verification Standard Project Proyecto de Diseño Seguro de Aplicaciones Rápidas (PDSAR) Proyecto de Seguridad en el Diseño de Aplicaciones Móviles (PSDAM) Proyecto de Seguridad en el Diseño de Sistemas de Almacenamiento (PSDS).
¿Qué aspecto es fundamental para una gestión segura de la sesión de una aplicación web? La cantidad de usuarios registrados en la base de datos La duración de la sesión de cada usuario La complejidad de la contraseña del usuario La implementación de mecanismos de control de acceso adecuados .
¿Qué cabeceras de seguridad son importantes de implementar en una aplicación web? Cabecera de tamaño de fuente Cabecera de color de fondo Cabecera de seguridad de transporte (HSTS) Cabecera de alineación de texto .
¿Qué se debe considerar al diseñar una arquitectura de seguridad para una aplicación web que utilice tecnología AJAX? La cantidad de enlaces externos en la página La velocidad de carga de los elementos multimedia La confidencialidad e integridad de los datos manejados por la aplicación El número de imágenes en la interfaz de usuario.
¿Cuál es una de las principales defensas contra las vulnerabilidades de seguridad en aplicaciones web desarrolladas con tecnología AJAX? La confidencialidad e integridad de los datos manejados por la aplicación Implementación de controles de seguridad en la capa de presentación Utilización de efectos visuales llamativos Aplicación de técnicas de encriptación avanzada.
¿Qué tipo de autenticación en dominio se basa en el uso de un directorio activo o open LDAP? Autenticación básica (basi – HTTP) Autenticación digest – HTTP Autenticación integrada en dominio Certificados digitales cliente (HTTPS 443).
¿Cuál es el documento de referencia para la autenticación básica (basi - HTTP? ) RFC 2617 RFC 2020 RFC 1234 RFC 3333.
¿Qué tipo de autenticación en dominio utiliza certificados digitales cliente? Autenticación básica (basi – HTTP Autenticación digest – HTTP Autenticación integrada en dominio Certificados digitales cliente (HTTPS 443).
¿Qué permite el Single Sign-On (SSO) en el contexto de la autenticación de usuarios? Acceder a múltiples sitios web con diferentes credenciales Utilizar la misma contraseña para todos los servicios Autenticar a un usuario en varios sitios con una sola credencial Requerir autenticación separada para cada servicio.
¿Qué protocolo de autenticación interoperable se basa en OAuth 2.0 y permite autenticar usuarios a través de sitios web y aplicaciones sin necesidad de gestionar contraseñas? OpenID Connect SAML (Security Assertion Markup Language) LDAP (Lightweight Directory Access Protocol) Kerberos.
¿Qué función cumple el protocolo TLS (Transport Layer Security) en relación con la autenticación en una aplicación web? Encriptar los datos transmitidos entre el cliente y el servidor Verificar la integridad de los archivos de la aplicación Autenticar a los usuarios mediante un certificado digital Optimizar la velocidad de carga de la página web.
¿Qué ventaja proporciona el uso de HTTPS en una aplicación web en términos de seguridad? Evita que los usuarios creen contraseñas seguras Protege la información confidencial durante la transmisión Aumenta la vulnerabilidad de los datos frente a ataques Facilita el acceso no autorizado a la aplicación.
¿Qué protocolo se recomienda para proteger las conexiones de una aplicación web y garantizar la autenticación del cliente? TLS SET SSH IPSEC.
¿Qué tecnología se menciona como necesaria para la administración de certificados digitales en el contexto de la autenticación ? PKI (Public Key Infrastructure) HMAC (Hash-based Message Authentication Code) XSS (Cross-Site Scripting) CSRF (Cross-Site Request Forgery).
¿Qué tipo de ataque implica la suplantación de la identidad de un usuario al capturar un ID de sesión activo? Ataque de repetición Adivinación del ID de sesión Fijación de sesión Todas las anteriores .
¿Qué medida de seguridad ayuda a validar la procedencia de una petición y prevenir ataques CSRF? Utilizar cookies seguras Implementar HTTPS con certificado de cliente Utilizar tokens anti-CSRF Limitar la concurrencia de la sesión.
¿Qué tecnología se recomienda para generar identificadores de sesión seguros y aleatorios? Base64 MD5 RSA Protocolos criptográficos de generación de números aleatorios .
¿Cuál es el objetivo principal de la autorización en una aplicación web? Autenticar a los usuarios mediante certificados digitales Proteger la información confidencial durante la transmisión Controlar el acceso a los recursos basado en roles o permisos Validar los ID de sesión para garantizar la seguridad.
¿Qué tecnología se utiliza comúnmente para implementar sistemas de autorización en aplicaciones web? JWT (JSON Web Tokens) XML (Extensible Markup Language) SQL (Structured Query Language) FTP (File Transfer Protocol).
¿Qué es un mecanismo comúnmente utilizado para asignar roles y permisos a los usuarios en un sistema de autorización? LDAP (Lightweight Directory Access Protocol) API (Application Programming Interface) API (Application Programming Interface) RBAC (Role-Based Access Control).
¿Por qué es importante implementar un sistema de autorización sólido en una aplicación web? Para encriptar los datos transmitidos entre el cliente y el servidor Para prevenir accesos no autorizados a recursos sensibles Para validar la integridad de los archivos de la aplicación Para facilitar la autenticación de los usuarios.
¿Qué función cumple el módulo de permiso de recurso en la administración del control de acceso a los recursos en una aplicación web? Determinar los roles necesarios para un recurso específico Crear identificadores de sesión seguros Gestionar la autenticación de los usuarios Controlar la integridad de los datos transmitidos .
¿Qué tecnología se utiliza para crear la tabla de correlación de recursos con roles en el inicio de una aplicación web? XML LDAP EJB Security Access Facility.
¿Qué tipo de tabla consulta el módulo de la tabla de autorizaciones para determinar si un cliente tiene los roles necesarios en una aplicación web? Tabla de correlación de recursos con roles Tabla de correlación de roles con usuarios o grupos Tabla de enlaces de aplicación Tabla de autorizaciones.
¿Qué tipos de gestión del control de acceso se pueden implementar según la asignación de perfiles, políticas o roles a los usuarios en una aplicación web? Gestión de acceso y gestión de identidad Gestión de sesiones y gestión de cookies Gestión de tokens y gestión de certificados Gestión de políticas, roles y perfiles de seguridad.
¿Cuál es la relación entre OpenID Connect y OAuth 2.0 en el contexto de la seguridad de las aplicaciones web? OpenID Connect es una extensión de OAuth 2.0 para autenticación OAuth 2.0 es una extensión de OpenID Connect para autorización OpenID Connect y OAuth 2.0 son protocolos independientes sin relación OpenID Connect reemplaza por completo a OAuth 2.0 en las aplicaciones web.
¿Cuál es el objetivo principal de OpenID Connect en una aplicación web? Proporcionar un mecanismo para compartir información entre sistemas Validar la integridad de los datos transmitidos entre el cliente y el servidor Permitir a los clientes verificar la identidad del usuario final Encriptar las comunicaciones utilizando certificados digitales.
¿Qué función cumple OAuth 2.0 en el contexto de la seguridad de las aplicaciones web? Proporcionar un mecanismo para la autenticación de usuarios Establecer una conexión segura entre el cliente y el servidor Definir un framework para la autenticación y autorización Encriptar los datos transmitidos utilizando certificados digitales.
¿Por qué es importante implementar OpenID Connect y OAuth 2.0 en las aplicaciones web que requieren autenticación y autorización? Para encriptar los datos transmitidos entre el cliente y el servidor Para validar la integridad de los archivos de la aplicación Para prevenir accesos no autorizados a recursos sensibles Para facilitar la gestión de sesiones de usuario.
¿Cuál es el propósito principal de agregar cabeceras de seguridad HTTP en una aplicación web? Mejorar la velocidad de carga de la página Proteger contra ataques de inyección de SQL Controlar el acceso de los usuarios a la aplicación Optimizar el rendimiento de la base de datos.
¿Qué tecnología se utiliza para implementar cabeceras de seguridad HTTP en un servidor web? XML LDAP OWASP HTTPS.
¿Cuál es una característica común de las aplicaciones RIA en comparación con las aplicaciones web tradicionales? Mayor dependencia de servidores locales Interfaz de usuario más estática Mayor interactividad y dinamismo Menor compatibilidad con navegadores móviles.
¿Qué tipo de vulnerabilidades de seguridad son comunes en las aplicaciones RIA? Ataques de denegación de servicio (DDoS) Inyección de código SQL Robo de identidad Fugas de información en la red.
¿Cuál es la práctica principal durante la fase de implementación para lograr un código seguro según Gary McGraw? Pruebas de penetración Revisión estática de código Análisis dinámico de seguridad Auditorías de seguridad.
¿Qué tipo de análisis se realiza en la fase de desarrollo para revisar la seguridad del código fuente? Análisis estático de código fuente (SAST) Análisis dinámico de caja negra (DAST) Análisis de vulnerabilidades Análisis de rendimiento.
¿Cuál es el enfoque principal para encontrar y corregir defectos de seguridad en aplicaciones web desarrolladas con la especificación J2EE? Pruebas de regresión Análisis de rendimiento Revisión estática de código Auditorías de seguridad .
Según el modelo de ciclo de vida de desarrollo de software seguro SDLC, ¿qué práctica se considera fundamental para organizaciones con gran cantidad de software? Pruebas de regresión Análisis de rendimiento Revisión estática de código Auditorías de seguridad .
¿Qué tipo de herramientas se utilizan para revisar la seguridad del código fuente en la fase de desarrollo? Herramientas de análisis de caja negra Herramientas de análisis dinámico Herramientas de análisis estático (SAST) Herramientas de monitorización de red.
¿Qué vulnerabilidad se refiere a la inserción de código malicioso en consultas SQL? Cross-Site Scripting (XSS) Inyección de SQL Cross-Site Request Forgery (CSRF) Exposición de datos sensibles.
¿Cuál de las siguientes opciones se refiere a la vulnerabilidad que permite a un atacante ejecutar scripts maliciosos en el navegador de un usuario? Inyección de código Cross-Site Scripting (XSS) Falsificación de petición en sitios cruzados (CSRF) Inyección de SQL.
¿Qué vulnerabilidad implica que un atacante pueda realizar acciones en nombre de un usuario autenticado sin su consentimiento? Inyección de código Exposición de datos sensibles Falsificación de petición en sitios cruzados (CSRF) Robo de sesiones.
¿Qué tipo de vulnerabilidad implica la ejecución de comandos no deseados por parte de un atacante a través de la entrada de datos de la aplicación? Inyección de SQL Inyección de código Exposición de datos sensibles Falsificación de petición en sitios cruzados (CSRF) .
¿Cuál de las siguientes opciones se refiere a la vulnerabilidad que permite a un atacante acceder a recursos no autorizados al manipular las referencias a objetos en la aplicación? Inyección de código Desbordamiento de búfer Manipulación de referencias directas a objetos Exposición de datos sensibles.
¿Qué vulnerabilidad implica la exposición de información confidencial a través de mensajes de error o comportamientos inesperados en la aplicación? Exposición de datos sensibles Inyección de SQL Desbordamiento de búfer Inyección de código.
¿Cuál de las siguientes opciones se refiere a la vulnerabilidad que permite a un atacante modificar la lógica de la aplicación sin autorización? Inyección de código Manipulación de referencias directas a objetos Desbordamiento de búfer Falsificación de petición en sitios cruzados.
¿Qué vulnerabilidad implica la escritura o lectura de datos fuera de los límites de un bloque de memoria asignado para un proceso? Desbordamiento de búfer Inyección de SQL Manipulación de referencias directas a objetos Manipulación de referencias directas a objetos.
¿Qué se menciona como una forma de análisis de seguridad que implica un "hackeo ético" de la aplicación desplegada? Análisis de seguridad basado en la nube. Análisis manual de Stuttar Análisis estático de caja negra Análisis dinámico en tiempo de ejecución.
¿Cuándo es más económico y eficiente abordar las vulnerabilidades en una aplicación web? Durante el desarrollo de la aplicación. Después de que la aplicación esté en producción En cualquier momento, ya que el costo es el mismo. Antes de comenzar el desarrollo de la aplicación. .
¿Qué significa SAST en el contexto de seguridad de aplicaciones? Análisis de Seguridad en Tiempo Real Análisis de Seguridad de Sistemas y Tecnologías Análisis de Seguridad Estático de Código Fuente. Análisis de Seguridad de Aplicaciones Sensibles.
¿Cuál es uno de los pasos previos que realizan las herramientas SAST antes de analizar el código fuente? Desensamblado del código ejecutable Ejecución de pruebas de penetración Análisis de seguridad en tiempo real. Revisión manual del código fuente.
¿Qué tipo de herramientas se utilizan para analizar el código fuente cuando no se dispone del código fuente original? Herramientas de análisis dinámico. Herramientas de análisis de caja negra Herramientas de análisis de código ejecutable. Herramientas de análisis de seguridad en tiempo real.
¿Qué guía se menciona en el texto como una referencia para llevar a cabo distintos tipos de análisis y actividades de seguridad en el desarrollo seguro de software? OWASP Testing Guide. ISO 27001. NIST Cybersecurity Framework. PCI DSS.
¿Qué tipo de análisis se enfoca en evaluar el comportamiento de una aplicación web en tiempo de ejecución? Análisis estático de caja blanca Análisis funcional de seguridad Análisis de seguridad basado en la nube. Análisis manual de Stuttar .
¿Qué tipo de análisis se centra en revisar el código fuente de una aplicación en busca de posibles vulnerabilidades? Análisis dinámico de caja negra Análisis de seguridad en tiempo real. Análisis estático de caja negra Análisis de seguridad basado en la nube.
¿Qué se recomienda realizar durante la fase de desarrollo de una aplicación web para garantizar su seguridad? Análisis de seguridad en tiempo real Análisis funcional de segurida Análisis de seguridad basado en la nube. Análisis estático de caja blanca.
¿Qué tipo de análisis implica simular ataques externos a una aplicación web para identificar posibles vulnerabilidades? Análisis funcional de segurida Análisis de seguridad en tiempo real. Análisis dinámico de caja negra Análisis de seguridad basado en la nube.
¿Cuál es el objetivo principal del análisis funcional y dinámico de seguridad en una aplicación web? Identificar vulnerabilidades en el código fuente. Evaluar el comportamiento de la aplicación en tiempo real. Proteger la aplicación contra ataques en tiempo de ejecución. Garantizar que la aplicación cumple con los requisitos funcionales y de seguridad.
¿Cuál es la principal diferencia entre las aplicaciones móviles y las aplicaciones web? Las aplicaciones web son nativas del SO, las móviles requieren un web browser. Las aplicaciones web funcionan en un navegador, las móviles en aplicación nativa Las aplicaciones móviles se programan en HTML y las web en JavaScript. Las aplicaciones web no funcionan en dispositivos móviles, mientras que las móviles funcionan en ambos.
¿Cuáles son los principales tipos de aplicaciones móviles? De red, de wifi y sin conexión. 2G, 3G, y 4G. Genéricas, específicas y comerciales Nativas, web e híbridas.
¿Qué caracteriza a un sistema operativo móvil? Está diseñado exclusivamente para computadoras de escritorio. Permite una abstracción del hardware para optimizar recursos en dispositivos móviles. No está orientado a la conectividad inalámbric Tiene una mayor capacidad de procesamiento que los sistemas fijos.
¿Qué caracteriza a las aplicaciones nativas? Se ejecutan en un navegador web Son específicas para un sistema operativo en particular. Desarrolladas con el software propio de cada sistema operativo. Son más lentas que las aplicaciones we.
¿Cuál es una característica de las aplicaciones híbridas? Se instalan directamente en el dispositivo del usuario. Son específicas para un sistema operativo en particular. Combina elementos de aplicaciones web y nativas. No requieren conexión a Internet para funcionar.
¿Por qué es importante implementar medidas de seguridad en las aplicaciones móviles? Para aumentar la velocidad de descarga Para proteger la privacidad y los datos de los usuarios. Para reducir el tamaño de la aplicación. Para mejorar la calidad de las imágenes.
¿Cuáles son algunos de los principales riesgos de seguridad de las aplicaciones móviles? Integridad, conexiones inseguras, encriptación rota y código fuente desconocido. Hackers, usuarios, servidores y conexiones. Falta de conexión, falta de espacio en memoria, falta de actualización de las aplicaciones. Descargas inseguras, conexión lenta y falta de espacio en el disco del dispositivo.
¿Cuál de las siguientes medidas de seguridad se recomienda para proteger las aplicaciones en dispositivos móviles? Mantener el dispositivo siempre conectado a redes Wi-Fi públicas. Compartir contraseñas con amigos cercanos. Actualizar regularmente las aplicaciones y el sistema operativo Descargar aplicaciones de fuentes desconocidas.
¿Qué acción puede ayudar a prevenir la fuga de datos involuntaria en una aplicación móvil? Compartir información confidencial en redes sociales. No utilizar cifrado para proteger los datos Implementar un adecuado cifrado de los datos. Mantener la sesión abierta indefinidamente.
Indica a que vulnerabilidad corresponde la lista de Top Ten de OWASP 2017 A1:2017 A2:2017 A3:2017 A4:2017 A5:2017 A6:2017 A7:2017 A8:2017 A9:2017 A10:2017.
¿Cuáles son las fases clave del SSDLC (Ciclo de Vida de Desarrollo de Software Seguro)? Análisis, Diseño, Implementación, Pruebas, Mantenimiento Requisitos de Seguridad, Análisis de Riesgos, Implementación de Controles, Pruebas de Seguridad, Monitorización Planificación, Ejecución, Evaluación, Documentación, Entrega Investigación, Desarrollo, Marketing, Soporte, Actualización.
¿Cuáles son los requisitos clave de implementación en el Secure Software Development Life Cycle (SSDLC)? Validación de entradas y salidas, gestión de errores, análisis de vulnerabilidades Configuración de servidores, mantenimiento de hardware, actualización de software Diseño de interfaces gráficas, optimización de bases de datos, pruebas de rendimiento Planificación de proyectos, gestión de recursos humanos, control de costos.
¿Qué representa el concepto de "vector de ataque" en ciberseguridad? Un método utilizado por los hackers para encriptar datos Una vulnerabilidad en el código fuente de una aplicación La ruta o medio a través del cual un atacante puede explotar una debilidad en un sistema Un protocolo de seguridad utilizado para proteger redes inalámbricas.
El Riesgo se refiere a la probabilidad de que una amenaza explote una vulnerabilidad y cause daño a los activos de información de una entidad. Verdadero Falso.
Una vulnerabilidad se define como una debilidad o fallo en un sistema, aplicación, red o proceso que podría ser explotado por un atacante para comprometer la confidencialidad, integridad o disponibilidad de la información Verdadero Falso.
Una amenaza se define como cualquier evento, circunstancia o entidad que tiene el potencial de causar daño o comprometer la seguridad de los activos de información de una organización Verdadero Falso.
|
