CETI - HE_05

¿Qué son los parámetros de una petición HTTP?: Es un par clave/valor que utiliza el protocolo HTTP para entregar los datos de entrada a la funcionalidad indicada. Representan la ruta dentro del dominio al que se quiere acceder. Son los datos que indican la versión del navegador utilizado por el cliente. Protegen los identificadores de sesión para que no puedan ser usurpados.

En la versión Community del proxy de interceptación web BurpSuite se puede utilizar el navegador web chromium que viene integrado. Verdadero. Falso.

¿Qué método HTTP permite que podamos incluir datos en el cuerpo de la petición?: TRACE. INCLUDE. POST. GET.

La cabecera "set-cookie" es una cabecera propia de la respuesta HTTP. Verdadero. Falso.

¿Cuál es la función del Modelo en la arquitectura Modelo Vista controlador?: Es la representación visual de los datos y como son presentados al cliente. Gestiona y mantiene los datos de la aplicación, se apoya en la Base de Datos para esta tarea. Realiza las operaciones lógicas de la aplicación, se apoya en el código del aplicativo para esta tarea. Recoger y gestionar los datos de los usuarios para que sean tratados.

En la versión Community del proxy de interceptación web BurpSuite se puede utilizar el escáner de vulnerabilidades. Verdadero. Falso.

Indica cuál de las siguientes afirmaciones NO es correcta a la hora de referirnos a una vulnerabilidad de Cross Site Scripting Almacenado: El usuario del aplicativo web ejecutara el código inyectado cuando acceda visualice la información almacenada por el atacante. Se produce por una mala validación de los datos de entrada (la aplicación no elimina caracteres especiales):. Tiene un valor CVSS más bajo que una vulnerabilidad de tipo Cross Site Scripting Reflejado. El código inyectado se almacena en el aplicativo Web vulnerable.

Indica cuáles de las siguientes afirmaciones sobre la vulnerabilidad Cross Site Scripting Reflejado es correcta: El código inyectado se almacena en el servidor y es ejecutado por los navegadores de los usuarios al visitar la sección o funcionalidad afectada. Se considera un tipo de ataque persistente que afecta al servidor que sustenta la aplicación. En ningún momento el código inyectado se guarda en el servidor, sino que habría que generar la dirección URL con la inyección en el parámetro y utilizar técnicas de ingeniería social para enviar el enlace a los usuarios e intentar que accedan al mismo. Mediante esta vulnerabilidad se puede inyectar código JavaScript que será ejecutado en el navegador del usuario en caso que no se validen los parámetros de entrada del aplicativo.

El atributo de las cookies "HttpOnly" disminuye el riesgo en caso de localizar una vulnerabilidad de tipo Cross Site Scripting. Verdadero. Falso.

Indica cuáles de estas vulnerabilidades son vulnerabilidades que afectan al servidor de un aplicativo web: Inyección remota de código. Suplantación de identidad. Bloqueo de la cuenta de usuario. Denegación de servicio.