BIGD2

Una actividad continua en SSDLC es…. retroalimentar requisitos de seguridad al descubrir nuevas amenazas. migrar la autenticación a cliente para descargar el servidor. congelar dependencias para evitar cambios durante todo el ciclo. aplicar permisos máximos por defecto para acelerar pruebas.

La capa de persistencia en una arquitectura clásica suele incluir…. gestores de base de datos como Oracle, SQL Server, MySQL o PostgreSQL. servidores DNS y DHCP para direccionamiento dinámico. repositorios de cookies HTTP y almacenamiento local del navegador. proxies inversos dedicados a balanceo de carga SSL.

Con relación a métodos HTTP, una práctica más segura es…. exponer TRACE para permitir verificación de sesión por usuarios. preferir POST para envío de credenciales y datos sensibles. usar GET para envíos de formularios de alta de usuarios. mapear DELETE a operaciones de lectura por compatibilidad.

La trazabilidad como objetivo de seguridad busca…. asegurar que todo contenido público esté cifrado end-to-end. determinar quién hizo qué y cuándo mediante controles y registros. eliminar la necesidad de segregación de funciones en procesos. garantizar que ninguna transacción pueda revertirse por auditoría.

El SSDLC requiere actividades de seguridad desde requisitos hasta operación. Verdadero. Falso.

El modelo AJAX elimina la necesidad de validar entradas en el servidor. Verdadero. Falso.

En MVC, el Controlador enruta peticiones y coordina la lógica aplicada a la Vista. Verdadero. Falso.

GET es apropiado para operaciones que no cambian estado y no debe enviar contraseñas. Verdadero. Falso.

CSRF se aprovecha de una sesión activa del usuario para enviar peticiones no deseadas. Verdadero. Falso.

Response Splitting puede facilitar XSS al inyectar cabeceras y cuerpos manipulados. Verdadero. Falso.

Las pruebas de seguridad basadas en riesgo pueden requerir iterar fases previas del ciclo. Verdadero. Falso.

El objetivo de “no repudio” es demostrar que una acción ocurrió sin que sea negada por su autor. Verdadero. Falso.

La seguridad en profundidad se apoya en mecanismos redundantes a lo largo de capas. Verdadero. Falso.

La capa cliente nunca influye en la superficie de ataque de una aplicación web. Verdadero. Falso.

Actividades características del SSDLC incluyen…. revisión de código y pruebas de penetración con herramientas adecuadas. despliegue sin auditoría para acortar la salida a producción. modelado de amenazas y casos de abuso para derivar requisitos. sustitución del control de acceso por validación exclusivamente en cliente.

Riesgos y mitigaciones con métodos HTTP comprenden…. evitar TRACE en producción para reducir exposición a XST. preferir GET para envío de credenciales por simplicidad de URL. usar POST para reducir exposición de parámetros sensibles. confiar en Referer como único control anti- CSRF en operaciones críticas.

En MVC, buenas prácticas de seguridad son…. validar en servidor y sanear datos antes de renderizarlos en la Vista. delegar autorización solo a JavaScript del lado del cliente. restringir acceso a recursos desde el Controlador según roles. concatenar directamente entradas en consultas sin parametrización.

En arquitecturas web, contribuye a la seguridad…. separación de capas y uso de servidores dedicados por función. exponer la base de datos directamente a Internet para rendimiento. aprovechar frameworks para autenticación y gestión de sesiones. permitir que el navegador gestione todos los controles de acceso.

Dentro de los objetivos de seguridad comunes se encuentran…. confidencialidad e integridad de la información manejada por el sistema. deshabilitar auditorías para mejorar tiempos de respuesta en picos. disponibilidad y trazabilidad con controles adecuados. evitar autenticación para minimizar fricción de usuario en procesos críticos.

¿Qué describe mejor la categoría “violación del control de acceso” en OWASP 2021?. Problemas de disponibilidad causados por saturación de ancho de banda legítimo. Fallos que permiten a usuarios no autorizados alcanzar recursos o acciones restringidas. Errores de presentación que afectan únicamente al estilo visual de la interfaz. Configuraciones de caché que reducen el rendimiento en dispositivos móviles.

¿Qué riesgo caracteriza al “path traversal” cuando la aplicación concatena rutas sin validar?. Acceso a archivos fuera del directorio raíz mediante secuencias como “../”. Bypass de autenticación por reutilización de tokens de sesión. Ejecución remota por intercambio de claves débiles en TLS. Inyección de consultas DNS en resoluciones de nombres internos.

¿Cuál es una consecuencia frecuente de “cryptographic failures” en OWASP 2021?. Pérdida de estilos en hojas CSS al minificar recursos. Exposición de datos sensibles por uso inadecuado de cifrado o claves. Lentitud de interfaz por exceso de peticiones asincrónicas. Errores de paginación al mezclar consultas con filtros.

¿Qué distingue a “insecure design” frente a otros fallos?. Registros excesivos que llenan el almacenamiento del servidor. Ausencia de controles de seguridad en el diseño, no solo en la implementación. Incidencias por librerías anticuadas sin relación con el diseño. Fugas de memoria derivadas de APIs con manejo de punteros.

¿Cuál es un indicador típico de “security misconfiguration”?. Bloqueo de HTTP TRACE y restricción de métodos inseguros. Funcionalidades por defecto expuestas y permisos más amplios de lo necesario. Exclusión de logs de auditoría en ambientes de preproducción. Segmentación de redes y listas de control estrictas por rol.

¿Qué describe mejor “vulnerable and outdated components”?. Respuestas sin cabeceras de control de caché adecuadas. Uso de dependencias con fallos conocidos o sin mantenimiento. Parámetros sin validar en formularios de búsqueda. Consultas con índices no optimizados en la base de datos.

¿Qué caracteriza “identification and authentication failures”?. Errores en autenticación o gestión de credenciales que permiten suplantación. Compresión de respuestas que altera el orden de cabeceras. Falta de particionamiento de tablas en almacenes de datos. Uso de almacenamiento en disco en vez de memoria para sesiones.

¿Qué riesgo cubre “software and data integrity failures”?. Tiempos de expiración cortos en cachés intermedias. Falta de verificación de integridad en actualizaciones, pipeline o deserialización. Omisión de CSP en páginas de contenido mixto. Incorrecto mapeo entre roles y permisos de lectura.

¿Qué problema aborda “security logging and monitoring failures”?. Sobrecarga de CPU por correlación de eventos en tiempo real. Ausencia de registros útiles y alertas que dificultan detección y respuesta. Duplicación de logs por balanceo de carga en niveles de aplicación. Falta de compresión de registros históricos en archivado.

¿Qué riesgo define “server-side request forgery (SSRF)”?. Las CDN replican contenido dinámico en caché privada de usuarios. La aplicación realiza peticiones desde el servidor hacia destinos internos controlados por el atacante. El navegador del usuario envía solicitudes a terceros por políticas CORS estrictas. Los proxies eliminan cabeceras de autenticación en saltos intermedios.

¿Qué práctica reduce la explotación de “path traversal”?. Normalizar rutas y permitir solo listas blancas de archivos o directorios. Comprimir respuestas para ocultar patrones de ataque. Deshabilitar registros de acceso para no exponer rutas. Usar concatenación directa de parámetros en la ruta solicitada.

¿Qué consecuencia puede tener “broken access control” en APIs?. Latencia elevada por chequear permisos en cada endpoint. Ejecución de acciones fuera de permiso por controles solo en cliente. Pérdida de sesiones por expiración temprana de tokens. Conflictos de caché al compartir cabeceras ETag.

¿Qué medida mitiga “cryptographic failures”?. Desactivar TLS en balanceadores para reducir carga. Gestionar claves con rotación, algoritmos robustos y canales seguros. Cifrar únicamente recursos estáticos no sensibles. Usar claves embebidas en el código para simplificar despliegues.

¿Qué práctica ayuda frente a “security misconfiguration”?. Endurecer configuraciones por entorno y eliminar funciones no usadas. Abrir métodos HTTP para facilitar pruebas de integridad. Confiar en valores por defecto del servidor de aplicaciones. Deshabilitar autenticación en preproducción para agilizar QA.

¿Qué riesgo introduce “vulnerable and outdated components” en el pipeline?. Heredar vulnerabilidades conocidas al compilar y desplegar. Incrementar el tamaño del contenedor base sin cambios. Duplicar artefactos en repositorios cacheados. Forzar el uso de proxies locales para dependencias.

¿Qué síntoma revela “logging and monitoring failures” durante un incidente?. Falta de trazabilidad de quién hizo qué y cuándo. Informes de capacidad sin datos históricos. Exceso de métricas de rendimiento en dashboards. Alertas preventivas antes de que ocurra el evento.

¿Qué situación ejemplifica “SSRF” en una aplicación?. Un script en cliente lee recursos de un CDN público. Un parámetro de URL permite al servidor leer endpoints internos como “http://127.0.0.1/”. Un formulario GET genera páginas indexables en buscadores. Un usuario sube un archivo que se sirve sin caché.

¿Qué estrategia reduce “insecure design”?. Aplazar decisiones de seguridad a la última iteración. Incorporar controles desde requisitos con estándares de verificación. Delegar la autorización en validaciones del navegador. Sustituir pruebas por monitoreo en producción.

¿Qué práctica disminuye “identification and authentication failures”?. Usar mecanismos del framework y políticas de sesión adecuadas. Permitir sesiones sin expiración por comodidad. Exigir contraseñas en parámetros GET para auditoría. Compartir una cuenta entre múltiples servicios críticos.

¿Qué combinación fortalece frente a “software and data integrity failures”?. Firmar artefactos, verificar integridad y controlar deserialización. Evitar validaciones para no afectar tiempos de despliegue. Usar repositorios sin control de versiones para rapidez. Exponer entornos de build a redes públicas sin restricciones.

“Violación del control de acceso” permite realizar acciones o ver datos sin permisos adecuados. Verdadero. Falso.

El “path traversal” aprovecha rutas relativas o absolutas para salir del directorio permitido. Verdadero. Falso.

“Cryptographic failures” se limita a errores de formato en certificados, no a claves o algoritmos. Verdadero. Falso.

“Insecure design” implica que la seguridad faltó en el planteamiento, no solo en el código. Verdadero. Falso.

“Security misconfiguration” suele aparecer por exponer configuraciones por defecto o servicios. Verdadero. Falso.

“Vulnerable and outdated components” no afecta si la aplicación compila correctamente. Verdadero. Falso.

“Identification and authentication failures” incluye gestión inadecuada de sesiones y credenciales. Verdadero. Falso.

“Software and data integrity failures” puede darse al no validar integridad en actualizaciones o. Verdadero. Falso.

“Security logging and monitoring failures” dificulta detectar y responder a incidentes. Verdadero. Falso.

En “SSRF”, el servidor puede solicitar recursos internos inducido por parámetros controlados por el atacante. Verdadero. Falso.

Medidas para reducir “path traversal” incluyen…. Normalizar y validar rutas frente a listas blancas. Incorporar el parámetro de ruta sin cambios en el sistema de archivos. Evitar que el usuario controle segmentos de directorio. Desactivar registros para ocultar rutas de archivos.

Para mitigar “cryptographic failures” es recomendable…. Rotación de claves y uso de algoritmos cifrados robustos. Reutilizar claves en todos los entornos para facilitar soporte. Proteger claves y canales durante tránsito y reposo. Permitir suites débiles para mantener compatibilidad amplia.