Desarrollo Seguro

¿De qué tipo de datos la información almacenada en base de datos relacionales, son ejemplo?. Semiestructurados. No estructurados. Estructurados. Planos.

¿Cómo se llama el principio de seguridad que nos indica que a una persona o proceso se le debe otorgar el nivel mínimo de acceso ?. Menor privilegio. Economía de mecanismos. Defensa de profundidad. Separación de responsabilidades.

¿Cuál de las siguientes es una técnica anti - manipulación para asegurar la integridad y la protección contra alteraciones no autorizadas y maliciosas del código del software y/o los datos?. Sanitización. Firmado de código. Depuración. Sandboxing.

¿Qué ejercicio debe realizarse para identificar los objetivos de seguridad amenazas y vulnerabilidades en el software que se está desarrollando?. Análisis estático de código. Modelado de Amenazas. Pruebas de seguridad. Diseño de calidad.

“Usar componentes descargados de fuentes oficiales a través de comunicación segura “ Es una técnica de mitigación ¿para qué tipo de categoría de vulnerabilidades?. Broken access control. Using components with Known Vuknerabilities. Injection. Security Misconfiguration.

El diseño para auditoría es extremadamente importante en caso de una infracción, principalmente con fines forenses. Verdadero. Falso.

¿Qué tipo de lenguaje de programación es Java, Python,C++ y .Net?. bajo nivel. ensamblador. interpretado y compilado. alto nivel.

¿Qué técnica se utiliza para detectar problemas semánticos como la lógica empresarial y las fallas de diseño?. Revisiones de código. Sanitización. Análisis de código estático. Análisis de código dinámico.

“Ataques relacionados con objetos y estructuras de datos en los que el atacante modifica la lógica de la aplicación o logra la ejecución de código remoto arbitrario si hay clases disponibles para la aplicación que pueden cambiar el comportamiento durante o después de la deserialización”, ¿en qué categoría del OWASP Top 10 corresponde la descripción anterior?. Injection. Insecure Deserialization. Insufficient Logging and Monitoring. Sensitive Data Exposure.

Se recomienda como una mejor práctica redirigir los errores y las excepciones a una ubicación de manejo de errores personalizada y predeterminada y según el contexto de inicio de sesión del usuario (remoto o local), se pueden mostrar los detalles de los mensajes apropiados. Verdadero. Falso.

¿Qué elementos permite que la funcionalidad interna de una función se software sea accesible para las personas o entidades (otras entidades y funciones de código)?. Metadatos. APIs. Registros. Configuración.

¿Cómo se llama el proceso de convertir algo que se considera peligroso en su forma inocua?. Compilación. Validación de entrada. Sanitización. Canonicalización.

"No combinar el rol de la persona que recibe pagos y la persona que los aprueba" ¿A qué principio de seguridad corresponde al enunciado anterior?. Economía de Mecanismos. Separación de Responsabilidades. Menor Privilegio. Defensa de profundidad.

Los analizadores de código fuente utilizan predominantemente la comparación de patrones con una lista conocida de sintaxis de vulnerabilidad y análisis de flujo/modelo de datos con conjuntos de datos conocidos para detectar vulnerabilidades. Verdadero. Falso.

¿Cuáles son los requerimientos que abordan la garantía de fiabilidad y protección o prevención contra modificaciones no autorizadas?. Requerimientos de integridad. Requerimientos de confidencialidad. Requeirmientos de disponibilidad. Requerimientos de autenticacion.

“El servidor de aplicaciones incluye aplicaciones de muestra que no se elimina del servidor de producción. Estas aplicaciones de muestra tienen fallas de seguridad conocidas que los atacantes utilizan para comprometer el servidor. Si una de estas aplicaciones es la consola de administración y las cuentas predeterminadas no se cambiaron, el atacante inicia sesión con las contraseñas predeterminadas y toma el control”. ¿Qué tipo de amenaza está representando en el escenario anterior?. Broken Authentication. Security Misconfiguration. XML Externa Entities. Injection.

Un ejemplo de _______ sería instalar copias adicionales del mismo software o agregar un servidor proxy de caché a la implementación existente de aplicaciones. • Ninguna de las anteriores. • Escalabilidad Vertical. • Escalabilidad Horizontal. • Escalibilidad Limitada.

¿Qué tipo de arquitectura permite la creación de sistemas de información altamente escalables que reflejan negocio de la organización, y a su vez brinda una forma bien definida de exposición e invocación de servicios facilitando la interacción entre diferentes sistemas propios o de terceros?. SOA. Monolítica. o Cliente-Servidor. o Mainframe.

¿Cuáles de los siguientes son ejemplo de fuentes externas para la definición de requerimientos de seguridad?. Regulaciones, iniciativas de cumplimiento y requerimientos geográficos. Política de seguridad interna. Ninguna de las anteriores. Estándares Internos.

¿Cómo se denomina al proceso de conversión de datos que tienen más de una representación posible para ajustarse a una forma estándar?. Canonicalización. Validación. Depuración. Sanitización.

Se realiza cuando la aplicación funciona desde el navegador web, a través de estos comandos se busca infectar con códigos malicioso el computador desde el cual el usuario busca conectarse. La mayoría de este tipo de ataques se centra en enviar al usuario a sitios maliciosos y el robo de información ¿Cómo se denomina este tipo de ataques?. Cross-Site Scripting. Sensitive Data Exposure. Broken Authentication. Insufficient Logging and Monitoring.

La firma digital no puede ser imitada fácilmente por alguien a menos que se vea comprometida. Verdadero. Falso.

Además de actualizar el sistema operativo con actualizaciones/revisiones de seguridad, es de vital importancia fortalecer las aplicaciones y el software que se ejecutan sobre estos sistemas operativos. ¿Lo anterior es una técnica de mitigación para qué tipo de vulnerabilidad?. Broken Authentication. Cross-Site Scripting. Broken Access Control. Security Misconfiguration.

Las vulnerabilidades en estas áreas pueden conducir al descubrimiento y control de sesiones. Una vez que el atacante tiene el control de una sesión (secuestro), puede interponerse en medio, haciéndose pasar por usuarios validos y legítimos para las partes que participan en esa transacción de sesión. ¿ De que tipo de vulnerabilidad estamos hablando?. Sensitive Data Exposure. Broken Access Control. Broken Authentication. Injection.

¿Cuál de las siguientes es un ejemplo de un repositorio de datos en la nube de un catálogo de imágenes?. Semiestructurado. No Estructurados. Estructurales. Planos.

¿A qué categoría de OWASP Top 10 corresponden las siguientes recomendaciones? * Los tokens JWT deben invalidarse en el servidor después de cerrar la sesión. * Con excepción de los recursos públicos, denegar por defecto. Cross-Site Scripting. Injection. Broken Access Control. Sensitive Data Exposure.

¿Cuál de las siguientes técnicas se utiliza para asegurar la integridad de los datos o la información?. Salt Values. Bloqueo de recurso. Encriptación. No repudio.

Este es un principio de seguridad que se enfoca en garantizar que la superficie de ataque no aumente y que no se introduzcan nuevas vulnerabilidades al promover la reutilización de componentes de software, código y funcionalidad existentes. Aprovechamiento de componentes ya existentes. Aceptabilidad psicológica. Privilegios mínimos.

¿Qué principio de seguridad también es conocida como Defensa de Capas?. · Separación de responsabilidades. · Defensa a profundidad. · Menor privilegio. · Economía de Mecanismo.

Hacer posible el escrutinio público y no confiar en la seguridad mediante obscuridad, son piezas claves del siguiente principio de seguridad. Mediación completa. Diseño abierto. Economía de mecanismos. Defensa a profundidad.

¿Qué practica proporciona al equipo de Desarrollo de software un punto de vista de atacante o del usuario hostil?. Diseño de calidad. Modelado de amenazas. Pruebas de seguridad. Analisis estatico del codigo.

¿A qué categoría de amenazas es vulnerable su aplicación si no es capaz de registrar las advertencias y los errores que genera la aplicación?. Broken Access control. Sensitive Data Exposure. Using Components with Know vulnerabilities. Insufficient Logging and Monitoring.

¿Cuál de las siguientes es un documento de conocimiento estándar para desarrolladores y seguridad de aplicaciones web?. OWASP Top 10. ISO 27001. CWE. PCI DSS.

¿A qué es susceptible el software que permite la ejecución de comandos de nivel del sistema operativo (SO) utilizando la entrada del usuario suministra sin desinfección o validación?. Inyecciones SQL. Tampering. Exploit. Inyecciones de Comando del SO.

Completa la siguiente oración: Los proporcionan información sobre las amenazas que pueden ocurrir contra el sistema o el software. Casos de uso. o Diagramas de deployment. o Casos de abuso. o Grafica de Gantt.

Complete la siguiente oración: Los_______________, ayudan a identificar los requisitos de seguridad al modelar escenarios negativos. Casos de abuso. Diagrams de deployment. Casos de uso. Grafica de Gantt.

No codifique las cadenas de conexión de la base de datos, las contraseñas o las claves criptográficas en texto son formato en el código o los archivos de configuración. ¿Contra qué es la recomendación arriba mencionada un ejemplo de técnica de mitigación?. Using Components with KnownVulnerabilities. Broken Access Control. Insufficient Logging and Monitoring. Broken Authentication.

Complete la siguiente frase: El enmascaramiento de información confidencial, como una contraseña o u número de tarjeta de crédito mediante la visualización de asterisco en la pantalla, es un ejemplo de _____________ que garantiza la confidencialidad: Interfaz de usuario segura. Microservicio seguro. Servicio de backend. Web service.

¿A quien corresponde las decisiones de clasificar los datos, quién tiene acceso y que nivel de acceso tendrán los datos dentro de la organización?. Dueño del negocio. Project Manager. DBA. Ingeniero de datos.

.¿Cómo se denomina a las interfaces que se utilizan para configurar y administrar la seguridad dentro del software?. APIs. UX. Security Management Interfaces(SMI). Interfaces batch.

"No compartir recursos cuando no sea necesario" ¿De que mecanismo estamos hablando?. Mecanismo menos común. Confidencialidad. Privilegios mínimos.

Los _____ brindan información sobre las amenazas que pueden ocurrir contra el sistema o el software. casos de uso indebido o casos de abuso. Casos de Uso. Escenarios alternos.

¿Cuáles son malware proliferativos?. Gusanos. Ransomware. Troyano. Spyware.

Cuando hablamos acerca de elementos valiosos para la organización, y que su pérdida puede limitarse la capacidad de la organización. ¿De qué elementos estamos hablando?. Virus. Amenazas. Vulnerabilidades. Activos.

Solo porque las credenciales de una entidad fueron validadas no significa que tenga acceso a todos los recursos que solicite, ¿cómo se conoce al proceso de validar los derechos y privilegios?. Confidencialidad. Autenticación. Autorización. MFA.

El atacante proporciona datos que se aceptan tal cual y como un comando o parte de un comando, lo que le permite ejecutar comandos utilizando cualquier vector de inyección ¿De qué tipo de vulnerabilidad estamos hablando?. Injection. XSS. Buffer Overflow. CSRF.

La aplicación acepta XML directamente o cargas XML, especialmente de fuentes que no son de confianza, o insertan datos que no son de confianza en documentos XML, que luego son analizados por un proceso XML. ¿Lo anterior descrito a que categoría de amenazas corresponde, según al documento de OWASP Top 10?. Insecure Deserialization. Cross-Site Scripting. Sensitive Data Exposure. XML External Entities (XXE).

¿La Lluvia de ideas puede ser aceptable para determinar los requerimientos de seguridad preliminares?. Verdadero. Falso.

Elevación de privilegios. Actuar como usuario sin iniciar sesión o actuar como administrador cuando inicie sesión como usuario, representan elementos que haría vulnerable a nuestra aplicación, ¿a qué categoría del OWASP corresponde?. Cross-Site Scripting. Sensitive Data Exposure. Broken Access Control. Insecure Deserialization.

¿Cuál de las siguientes técnicas se utiliza para asegurar la integridad de los datos a la información?. Bloqueo de recursos. Salt Values. Encriptación. No repudio.

En el contexto del software seguro, la administración de los parámetros de configuración, significa que los parámetros que componen el software se gestionan y protegen, para que sean menos propensos a la explotación. Falso. Verdadero.

¿Qué algoritmo de encriptación son muy rápidos y eficientes en el cifrado de grandes volúmenes de datos en un periodo corto de tiempo?. Algoritmos asimétricos. Algoritmos simétricos. Ofuscación. Hashing.

¿Algoritmo de hash, cual es la técnica que se utiliza para agregar valores aleatorios para evitar colisiones?. Entropy Values. Random Values. Salt Values. Unique Values.

“El balance entre proteger los archivos de TI y el costo de implementación kde los controles de seguridad de software, de tal forma que el riesgo sea manejado de forma apropiada” ¿A que principio se refiere el enunciado anterior?. Propiedad de las amenazas. Administración de riesgos. Clasificación de la información. Modelado de amenazas.

¿Cómo se denomina al mecanismo de seguridad que evita que el software que se ejecuta en un sistema acceda al sistema operativo host?. Encriptación. Sanitización. Tokenización. Sandboxing.

¿Cuál de las siguientes es la política de seguridad aplicable de forma universal para toda la organización?. Políticas funcionales. Políticas organizacionales. Políticas locales. Ninguna de las anteriores.

¿Cuál es el principio de seguridad que establece que los mecanismos de seguridad deben diseñarse para maximizar el uso, la adopción y la aplicación automática?. Defensa a profundidad. Aceptabilidad psicológica. Mediación Completa. Fallo Seguro.

Complete la siguiente oración: La ________ de un software o aplicación es la medida de su exposición a ser explotada por un agente de amenaza. Fortaleza. Debilidad. Superficie de ataque. Amenaza.

Implemente el numero máximo de intentos de autenticación permitido y cuando haya pasado ese número se debe denegar de forma predeterminada y desactivar (bloquear) la cuenta durante un periodo de tiempo específico o hasta que el usuario siga un proceso fuera de banda para reactivar (desbloquear) la cuenta. Lo anterior es una técnica de mitigación ¿para qué tipo de vulnerabilidad?. Sensitive Data Exposure. Broken Access Control. Injection. Broken Authentication.

Según el principio de seguridad de “Fallo Seguro” , no debemos diseñar el software para ignorar el error y reanudar la siguiente operación. Verdadero. Falso.

¿Qué tipo de lenguaje es ensamblador?. Alto nivel. Medio nivel. Bajo nivel.

¿Cuál es el circuito especializado que se utiliza para realizar operaciones matemáticas y lógicas en los datos dentro de una CPU?. Memoria RAM. Registros. Unidad de Control. Unidad aritmética lógica.

Es recomendable monitorear las bases de datos de seguimiento de errores y las listas de divulgación de vulnerabilidades. Pharming. Sensitive Data Exposure. Phising. Using Components With Know Vulnerabilities.

Manejo de errores explicitamente usando redireccionamientos y mensajes de error para que el inclumplimiento de cualquier configuracion incorrecta no resulte en la divugacion de mas informacion de la necesaria. ¿ Lo anterior es una técnica de mitigación para que tipo de vulnerabilidad?. Injection. Security Misconfiguration. XSS. CSRF.

¿A qué tipo de ataque se refiere lo siguiente? Se da en casos donde los controles de acceso se encuentran correctamente configurados, pero no hay mecanismos para mantener segura la información de los usuarios. Los hackers aprovechan esta deficiencia para manipular encabezados y mostrar mensajes de error con información confidencial, de esta forma será posible para un atacante revelar datos y generar acceso no deseados. Broken Access Control. Broken Authentication. Insufficient Logging and Monitoring. Security Misconfiguration.

El software o la información deben ser accesibles solo a las entidades autorizadas cuando se requiera. Disponibilidad. Integridad. Confidencialidad.

¿Qué tipo de lenguajes de programación tienen la necesidad de un programa host intermediario para leer y ejecutar cada instrucción línea por línea?. Lenguaje ensamblador. Lenguajes interpretados. Lenguajes compilados. Lenguaje de bajo nivel.

La ___ es el proceso de verificación que garantiza que los datos proporcionados son del tipo y formato correctos, caen dentro del rango de valores esperado y permitido y no se interpretan como código, como es el caso de los ataques de inyección. Compilación. Sanitización. Validación de entrada. Canonicalización.

¿Cuál de los siguientes principios de seguridad se logra repartiendo las tareas y privilegios asociados a ciertos procesos de seguridad entre múltiples entidades?. Economía de Mecanismos. Separación de Responsabilidades. Menor Privilegio. Defensa a Profundidad.

El dueño de los mecanismos de protección debe estar abierto al escrutinio de los miembros de la comunidad ¿A qué principio de seguridad hace referencia el enunciado anterior?. Fallo seguro. o Defensa a profundidad. o Diseño abierto. o Menor privilegio.

Selecciona la opción correcta para completar la frase: Se sabe que los empleados desconectados que se siente agraviados por sus empleadores implementan _______________ en su código un medio de venganza contra sus empleadores: Fallas. Bombas lógicas. Excepciones. Vulnerabilidades.

¿Cual de los siguientes proporciona el punto de vista de los usuarios hostiles?. Diagramas de deployment. Graficas de Gantt. Casos de abuso. Casos de uso.

¿Qué documento presenta diez puestos para planificar e implementar un entorno seguro de contenedores de docker?. Container Security Maturity Mode. CWE Top Ten. OWASP Docker Top 10.

Todos los datos necesitan el mismo nivel de protección, por ejemplo los datos públicos requieren una protección mínima o nula contra la divulgación. Verdadero. Falso.

¿Cómo se llama al proceso de inspeccionar el código en busca de calidad y debilidades que se pueden explotar?. Control de versiones. Análisis de código. Tokenización. Ofuscación.

“El archivo de configuración de la aplicación web debe cifrar configuraciones confidenciales dconexiones de base de datos y otras aplicaciones sensibles” ¿de qué tipo de requerimiento es un ejemplo del enunciado anterior?. Requerimiento de manejo de sesión. Requerimientos de manejo de configuraciones. Requerimiento de manejo de errores.

.¿Mediante qué elementos se da la comunicación entre los componentes de la CPU?. Buses. Unidad aritmética lógica. Memoria RAM. Canales.

¿Cómo qué tipo de lenguaje se pueda considerar cuando trabajamos con C# de .Net?. Compilado. Interpretado. Hibrido.

Al establecer time-outs, ¿qué técnica de mitigación estamos usando?. Broken Access Control. Cryptographic failures. Identification and Authentication Failures Comentarios: También conocida como Broken Authentication and Session Management.

Son espacios de almacenamiento de memoria interna especializada dentro del propio procesador: Unidad Aritmética Lógica (ALU). RAM. Unidad de control. Registros.

¿ Qué técnica se realiza normalmente para superar las limitaciones en los dispositivos de Android que los proveedores de servicios o los fabricantes de hardware suelen implementar ?. Jailbreaking. Reseteo. Liberación. Rooting.

¿Cuáles son alguna de las responsabilidades de Custodio de los Datos?. Implementar prácticas de codificación defensiva. o Realizar el ejercicio de clasificación de información. Realizar copias de seguridad y recuperación según lo especificado por el propietario de los datos. o Delegar esta responsabilidad al dueño de los datos. o Ninguna de las anteriores.

Práctica en la que se instala código malicioso en un sistema o servidor que desvía a los usuarios a sitios web fraudulentos: Pharming Comentarios: La pregunta puede venir de la siguiente forma también: "¿Cómo se llama a la forma en que se contamina o redirige a un conjuntos de maquina o nodos de sitios no reales?". Phishing. Vishing.

¿Cuál de los siguientes principios de seguridad nos guía a mantener las cosas simples y ve a la complejidad como un enemigo de la seguridad?. Defensa a Profundidad. Separación de Responsabilidades. Menor Privilegio. Economía de Mecanismos.

Completa la siguiente oración: La de código utiliza una variedad de técnicas para hacer que el código fuente sea confuso e ilegible. Denegación. Seguridad. Confidencialidad. Ofuscación.

"Un agente que intencionalmente causa que una amenaza suceda” ¿Qué concepto describe el enunciado anterior?. Actacante curioso. Insider. Descubrimiento accidental.

¿Cómo se denomina a la liberación automática de memoria, cuyo objetivo principal es reducir las pérdidas de memoria, es decir, recuperar objetos de memoria inalcanzable?. Garbage Collection. Resource Allocation. Freezing. Releasing.

Completa la siguiente oración: se refieren a defectos de diseño y arquitectura que puedan dar lugar a defectos de seguridad. Vulnerabilidades. Errores (Bugs). Defectos (flaws). Exploits.

El administrador de la base de datos con acceso sin restricciones y sin auditor la información confidencial directamente es una Fuente de amenaza potencial que no debe ignorarse. ¿A qué tipo de amenaza humana corresponde la descripción anterior?. Insider. Usuario ignorante. Atacante curioso.

¿Qué arquitectura de software define la utilización de servicios para dar soporte a los requerimientos del negocio?. SOA. Mainframe. Monolitica.

Cuando hablamos acerca de agentes de amenaza humanos. ¿Cómo se denomina a un usuario común que tropieza con un error funcional en el software y que pudo obtener acceso privilegiado a la información o a la funcionalidad?. Usuario ignorante. Amenaza accidental.

Si alguien cambia el precio de un producto en un catálogo y no tiene manera de comprobar quién fue. ¿A cuál característica hace referencia el enunciado?. Integridad. No Repudio. Disponibilidad. Confidencialidad.

“La información no puede estar accesible a las personas incorrectas en los momentos incorrectos”, ¿A qué características hace referencia el enunciado anterior?. Integridad. Confidencialidad. Disponibilidad. No repudio.

Complete la siguiente oración: La metodología sirve para clasificar el riesgo de la amenaza calculando el promedio de los valores numéricos asignados a las categorías de clasificación de riesgo. DDoS. CIA. STRIDE. DREAD.

¿Cuál es el instrumento a través del cual se identifican los activos digitales que requieren protección?. Política de seguridad. Revisión de Código. Control de Versiones.

Completa la siguiente oración. Las metodologías de __________ se construyen sobre la base del desarrollo iterativo con el objetivo de minimizar las tasas de falla del proyecto de desarrollo de software. Desarrollo ágil. Desarrollo Iterativo. Desarrollo en Cascada.

La_____________ generalmente sigue un esquema de copia de seguridad maestro esclavo- o primario -secundario en el que hay un nodo maestro o primario y las actualizaciones se propagan a los esclavos o al nodo secundario de forma active o pasiva. Seguridad. Eslaticidad. Replicacion. Disponibilidad.

"Los mensajes de error que se muestran al usuario final revelan solo información necesaria sin revelar ningun detalle del sistema interno" ¿ De que tipo de requerimiento es ejemplo el enunciado anterior?. Requisitos de gestión de errores y excepciones. Requisitos de seguridad. Requisitos Funcionales.

Si usted no repara o actualiza la plataforma subyacente, los frameworks y las dependencias de manera oportuna y basado en el riesgo puede caer en este caso. Esto suele ocurrir en entornos en los que la aplicación de parches es una tarea mensual o trimestral bajo control de cambios, lo que deja a las organizaciones abiertas a muchos días o meses de exposición innecesarias a vulnerabilidades reparadas. ¿En qué categoría de amenazas clasificaría lo anterior?. XML External Entities. Sensitive Data Exposure. Insecure Deserialization. Using Components with Known Vulnerabilities.

En el contexto de la seguridad informática, ¿Cómo se denomina al mecanismo de seguridad que evita que el software que se ejecuta en un sistema acceda al sistema operativo host?. Tokenización. Ofuscación. Encriptación. Separación de responsabilidades. Sandboxing.

¿Cuál de las siguientes categorías no corresponde al modelo STRIDE?. Integridad. Denegación de Servicio. Repudio. Suplantación de Identidad.

¿Qué técnica de sanitización reemplaza las entradas proporcionadas por el usuario con alternativas más seguras?. Regularización. o Literalización. o Eliminación. • Sustitución.

Completa la siguiente frase: Una ___________ es simplemente la posibilidad de un evento no deseado que sería dañino si se presentara. Vulnerabilidades. Ataque. Amenaza. Activo.

El uso de algoritmo criptográfico no validado, desarrollado a medida o debil, e sun ejemplo de vulnerabilidad criptográfica. Verdadero. Falso.

¿A qué principio de seguridad corresponde que los derechos de acceso sean validos cada vez que ocurre un acceso?. Economía de mecanismos. Defensa a profundidad. Diseño abierto. Mediación completa.

¿Qué tipo de malware se usa principalmente para control remoto o para escuchas de software?. Spyware. Troyanos. Rootkits. Adware.

¿Cuál de las siguientes características tiene que ver con mantener la privacidad de los datos?. Confidencialidad. Fallo Seguro. Integridad.

Revise el siguiente escenario. Una aplicación cifra los números de tarjeta de crédito en una base de datos mediante el cifrado automático de la base de datos. Sin embargo, estos datos se cifran automáticamente cuando se recuperan, lo que permite que un error de inyección SQL recuperen números de tarjetas de crédito en textos sin cifrar, ¿de qué tipo de vulnerabilidad estamos hablando?. Insecure Deserialization. Sensitive Data Exposure. Cross-Site Scripting. XML External Entities.

¿Qué tipo de análisis de código implica inspección del mismo sin ejecutar el programa de software lo que contiene?. Análisis de código dinámico. Análisis de código estático. Sandboxing. Sanitización.

Los datos o la información pueden considerarse el activo mas valioso que tiene una empresa, solo superado por su personal. Verdadero. Falso.

Siempre que sea posible, utilice formatos de datos menos complejos como JSON y evite la serialización de datos confidenciales. * Aplicar parches o actualizar todos los procesadores XML y las bibliotecas en uso por la aplicación o en el sistema operativo subyacente. ¿Contra qué tipo de amenazas nos sirven para protegernos las anteriores recomendaciones?. Insecure Deserialization. XML External Entities (XXE). Sensitive Data Exposure. Cross-Site Scripting.

¿Qué término significa que alguien no puede negar sus acciones?. No repudio. Integridad. Confidencialidad. Disponibilidad.

Transmitir información de texto plano o usar algoritmos criptográficos débiles o muy viejos, ¿son ejemplos de qué tipo de vulnerabilidad en una aplicación?. Injection. Sensitive Data Exposure. Broken Authentication. Cross-Site Scripting.

Cuando hablamos acerca de proteger contra la alteración inapropiada de la información, ¿a qué características de software no estamos refiriendo?. Integridad. No repudio. Confidencialidad. Disponibilidad.

¿Cuál es el proceso que implica la inspección del código sin ejecutor el mismo (programa de software)?. Control de versiones. Análisis de código dinámico. Ofuscación. Análisis de código estático.

¿Qué tipo de análisis efectúa la inspección del código cuando este se está ejecutando?. Sandboxing. Sanitización. Análisis de código dinámico. Análisis de código estático.

Cuando se van a utilizar componentes que no se desarrollaron bajo su control, es importante asegurarse de que los componentes y sus versiones, incluidas las dependencias, no solo se identifiquen primero(Se conozcan), sino que también se mantengan actualizados. ¿Lo anterior es una técnica de migración para qué tipo de vulnerabilidad?. Pharming. Sensitive Data Exposure. Using Components with Known Vulnerabilities. Phising.

¿Cuál es el instrumento a través del cual se identifican los activos digitales que requieren protección?. Políticas de seguridad. Estandares. Reglas. Agentes de amenazas.

¿Cuál de los siguientes factores no forma parte del dominado triangulo de hierro, en la administración de proyectos de desarrollo de software?. Alcance. Presupuesto. Tiempo. Seguridad.

Si usted no busca vulnerabilidades con regularidad y se suscribe a los boletines de seguridad relacionados con los componentes que utiliza ¿A qué tipo de amenazas sería vulnerable?. Using Components with Know Vulnerabilities. Insecure Deserialization. XML External Entities. Sensitive Data Exposure.

Cuando se utilizan roles para la autorización, el diseño debe garantizar que no haya roles en conflicto que pudieran eludir a ¿Cuál de los siguientes principios?. Mecanismo menos común. Separación de Responsabilidades (duties o tareas). Diseño abierto.

Si un sistema no es capaz de detectar, escalar o alertar sobre ataques activos en tiempo real o casi en tiempo real. ¿A qué categoría de amenazas es vulnerable?. Broken Access Control. Sensitive Data Expositure. Insufficient Logging and Monitoring. Using components with know Vulnerabilites.

Las políticas de seguridad deben ser evaluadas periódicamente para que se mantengan relevantes y actualizadas conforme a las amenazas actuales. Verdadero. Falso.

Completa la siguiente frase: Los requerimientos de ___________ son aquellos requisitos de software que aseguran la protección contra la destrucción del sistema de software y/o datos. Integridad. Confidencialidad. Disponibilidad. Autenticación.

¿A qué principio de seguridad se refiere el uso de zonas que separan los diferentes niveles de acceso según la zona a la que el software o la persona está autorizada para acceder?. Aceptabilidad psicológica. Mecanismo menos común. Separación de responsabilidades. Defensa de profundidad.

.¿A qué principio de seguridad se refiere que los errores y excepciones se manejan explícitamente y los mensajes de error sean de naturaleza no detallada?. • Fallo Seguro. • Mecanismo menos común. • Defensa a profundidad. • Separación de responsabilidades.

¿Qué técnica se utiliza para proteger un software contra ataques de ingenieria inversa?. Sandboxing. Sanitización. Firmado de código. Ofuscación.

¿En qué estrategia de manejo de riesgos se elige implementar controles de seguridad para reducir el riesgo?. Transferir el riesgo. Aceptar el riesgo. Mitigar el riesgo. Ignorar el riesgo.

¿Qué categoría del modelo DREAD clasifica el esfuerzo necesario para manifestar la amenaza y las condiciones previas, si las hay, que son necesarias para materializar la amenaza?. Usuarios afectados. Reproducibilidad. Daño potencial. Explotabilidad.

El hecho de que el código se compile sin ningún error, que pueda analizarse mediante el analisis de código estático, significa que se ejecutará sin ningún error. Falso. Verdadero.

Una carpeta con un catálogo de imágenes, es un ejemplo de datos. Estructurados. Planos. Semiestructurados. No estructurados.

¿Qué tipo de malware actúa imponiendo restricciones a la víctima que infecta y exige un rescate para la restricción?. Ransomware. Rootkits y troyanos. Spyware y adware. Virus y gusanos.

¿Actualmente cuál es uno de los activos más valiosos con los que cuenta una organización?. Los data centers. Los procesos. Los datos. Los servidores.

Una de las consideraciones diseño más importantes es diseñar el software para que pueda proporcionar evidencia histórica de las acciones del usuario y del sistema. ¿A que concepto hace referencia el enunciado anterior?. Auditoria. Ninguna de las anteriores. Prevención de perdida de información. Firewalls.

¿Qué tipo de malware permanece oculto ( en modo sigiloso) y opera subrepticiamente, a menudo sin el conocimiento o el consentimiento del sistema o usuario victimizando?. Ransomware. Stealthware. Proliferativo. Ninguna de las anteriores.

¿Qué tipo de arquitectura se basa en servicios de los que cada uno se ejecuta en su propio proceso y se comunica con mecanismos ligeros, a menudo una API de recursos HTTP?. Microservicios. SOA. Cliente-Servidor. Mainframe.

¿En que estrategia de manejo de riesgos se elige implementar controles de seguridad?. Mitigar el riesgo. Aceptar el riesgo. Transferir el Riesgo.

El control de versiones puede reducir la incidencia de una condición conocida como donde los errores previamente corregidos reaparecen (se regeneran). Errores de día cero. Duplicación. Errores regenerativos. Errores casuals.

El modelado de casos de uso es otro mecanismo por el cual se pueden determinar los requisitos funcionales y de seguridad de software. Falso. Verdadero.

Son profesionales contratados para hacer que los sistemas fallen y que buscaban el enriquecimiento. Third party/Supplier. Ciberdelincuentes organizados. Insider.

La imagen base de contenedor es la más importante por motivos de seguridad, ya que se utiliza como punto de partida desde que se crea imágenes derivadas. Falso. Verdadero.

¿Mediante que elemento podemos modelar el comportamiento previsto del software o sistema?. Casos de Abuso. Grafica de Gantt. Diagrama de deployment. Casos de uso.

¿Qué categoría del modelo STRIDE habla acerca de la interrupción del servicio que afecta la disponibilidad?. Denegación del servicio. Manipulacion. Repudio. Suplantación de identidad.

¿Transmitir información en texto plano o usar algoritmos criptográficos débiles o muy viejos son ejemplos de qué tipo de vulnerabilidad en una aplicación?. Injection. Broken Authentication. Cross-Site Scripting. Sensitive Data Exposure.

.¿Cómo se denomina a la técnica de mitigación de vulnerabilidad que consiste en eliminar los servicios y procesos innecesarios?. Cross-Site Scripting. Broken Authentication. Broken Access Control. Security Misconfiguration.

La siguiente técnica ayuda a prevenir cierto tipo de ataque: “Implementar controles de integridad, como firmas digitales, en cualquier objeto serializado para evitar la creación de objetos hostiles o la manipulación de datos”. ¿A qué categoría corresponde?. Sensitive Data Exposure. Insecure Deserialization. Insufficient Loggind and Monitoring. Cross-Site Scripting.

¿A qué rol se refiere alguien que esencialmente usa sus conocimientos técnicos y habilidades para resolver problemas que tiene el negocio usando lenguajes de programación ?. Administrador de base de datos. Ninguna de las anteriores. Programador. Ingeniero de pruebas.

¿Cómo se llama el método para engañar usuarios para que envíen su información personal a través de medios electrónicos como correos electrónicos y sitios web falsos?. Injection. Phising. Vishing. XSS.

Seleccione la opción correcta para completar la frase: La ____________ es el proceso de verificación que los datos que se proporcionan para el procesamiento son del tipo y formato de datos correctos, caen dentro del rango de valores esperados y permitido y no se interpretan como código, como es el caso de los ataques de inyección. Sanitización. Compilación. Validación de entrada.

¿Cuál de los siguientes permite verificar la integridad de la información?. Funciones Hash. Encriptación. Análisis de codigo.

¿Qué termino se refiere al cambio automático de un software transaccional activo, servidor, sistema o componente de hardware o red a un sistema en espera o redudante?. restore. failback. failover. backup.

¿Qué tipo de datos es la información almacenada en bases de datos?. Estructurado. No estructurado. plano.

¿A qué categoría de OWASP Top 10 corresponde el siguiente escenario: “Los tiempos de espera de la sesión de la aplicación no están configurados correctamente”. Un usuario usa una computadora pública para acceder a una aplicación. “En lugar de seleccionar cerrar sesión, el usuario simplemente cierra la pestaña del navegador y se marcha. Un atacante usa el mismo navegador una hora más tarde y el usuario aún está autenticado. Broken Authentication. Sensitive Data Exposure. Injection. Cross-Site Scripting.

¿Cómo se denomina al proceso de combinar las funciones necesarias, las variables y las dependencias, archivos y bibliotecas necesarias para que la maquina ejecute un programa?. Compilación. Interpretación. Vinculación. Validación.

Esto es particularmente más frecuente en el software adquirido a través de la cadena de suministro de software y en el desarrollo de software de código abierto, en el que el personal no desarrolla todos los componentes de la aplicación de software, bajo el estricto control de la empresa. ¿Lo anterior a qué tipo de vulnerabilidad describe?. Phising. Pharming. Using Components with Known Vulnerabilities. Sensitive Data Exposure.

Complete la siguiente oración: Se sabe que los empleados descontentos que se sienten agraviados por sus empleadores implantan _____________ en su código como un medio de venganza contra sus empleadores. Bombas lógicas. Timers. Depuradores. Ofuscadores.

¿Qué requerimientos verifican y aseguran la legitimidad y validez de la identidad?. Requerimientos de autenticación. Requerimientos de Configuración. Requerimientos de Identificación.

.¿Qué tipo de análisis de código requiere de un entorno simulado que refleje el entorno de producción donde se implementará el código?. Análisis de código estático. Análisis de código dinámico. Sanitización. Sandboxing.

Complete la siguiente oración: Un ___________ es la condición que ocurre cuando los datos que se copian en el búfer (espacio de almacenamiento contiguo asignado en la memoria) son más grandes de lo que el búfer puede manejar. Buffer Overflow. XSS. CSRF. Injection.

¿Es posible detectar si un dispositivo ha pasado por un proceso de rooting o jailbreaking?. Verdadero. Falso.

Cuando una aplicación tiene un manejo de errores que revela a los usuarios rastros de pila u otros mensajes de error demasiados informativos. ¿A qué categoría de amenazas es vulnerable?. Injection. Security Misconfiguration. Broken Authentication. Broken Acces Control.

¿Qué tipo de técnica implementa filtros que se usan para validar la forma canónica o estándar de entrada?. Depuración. Double check. Expresiones regulares. Regularización.

¿Cuál de los siguientes principios de seguridad nos indican que no se deben permitir violaciones a la seguridad en caso de una falla?. Separación de responsabilidades. Fallo Seguro. Defensa a profundidad. Menor privilegio.

¿Qué archivo acredita que la persona o entidad que lo posee es realmente la correcta?. Certificado digital. Firma electronica. Valor bash.

¿Cuál de las siguientes metodologías de desarrollo de software consiste en un proceso altamente estructurado, lineal y secuencial, caracterizado por fases predefinidas, cada una de las cuales debe completarse antes de poder pasar a la siguiente fase?. SCRUM. Modelo Iterativo. Modelo en espiral. Modelo de Cascada.

Si una aplicación no puede detectar, escalar o alertar sobre ataques activos en tiempo real o casi en tiempo real. ¿A qué categoría de amenazas es vulnerables?. Insufficient Logging and Monitoring. Using Components with KnownVulnerabilities. Sensitive Data Exposure. Broken Access Control.

¿Qué elementos nos ayudan a identificar los requisitos de seguridad al modelar escenarios negativos?. Casos de uso. Grafica de Gantt. Casos de Abuso. Diagrama de deployment.

¿Cuál de los siguientes factores no debería de ser puesto a negociación cuando estamos trabajando en un proyecto de desarrollo de software?. Alcance. Calidad. Presupuesto. Tiempo.

El objetivo principal de la recolección de basura es reducir las pérdidas de memoria, es decir, recuperar objetos de memoria inalcanzables. Falso. Verdadero.

Se dice que una aplicación web es susceptible a la vulnerabilidad ____________ cuando la entrada suministrada por el usuario se envía de vuelta al cliente del navegador sin ser validada adecuadamente. Broken Access control. Cross-Site scripting. Injection. Cross site Request Forgery.

¿Qué método funciona cuando el que tiene el punto de vista opuesto es cuestionado sobre su razón de ser, a menudo con una forma negativa de su propia pregunta?. Método Socrático. CMMI. Six Sigmas. STRIDE.

¿Qué metodología de modelado de amenazas se realiza en la fase de diseño del desarrollo de software agrupando y clasificando las amenazas en seis categorías?. DREAD. CMMI. Jailbreaking. STRIDE.

¿Qué categoría del modelo DREAD clasifica lo fácil que es para investigadores externos y atacantes para descubrir la amenaza ?. Reproducibilidad. Daño potencial. Descubrimiento. Usuarios afectados.

Complete la siguiente oración: En una _________, los atacantes explotan la forma en que se construyen las consultas de la base de datos en una aplicación. Inyección LDAP. Inyección SQL. Inyección de Comandos de Sistema Operativo. Inyección XML.

Casi cualquier fuente que acepte datos es un vector de inyección potencial si los datos no se validan antes de su procesamiento. Verdadero. Falso.

¿Qué técnica se utiliza para detectar bombas lógicas?. Sanitización. Revisiones de código. Análisis de código dinámico. Análisis de código estático.

¿Cómo se denomina al proceso de transformación de los datos que proporcionan el usuario antes de procesarlos?. Sanitización. Regularización. Expresiones regulares. Double check.

Cuando faltan actualizaciones de software y de sistema operativo, ¿de qué tipo de vulnerabilidad estamos hablando?. Security Misconfiguration. Broken Access Control. Cross-Site Scripting. Broken Authentication.

¿Cómo se denomina a la capacidad del sistema o software para manejar una cantidad creciente de trabajo sin degradar su funcionalidad o rendimiento?. Escalabilidad. Disponibilidad. Elasticidad. Seguridad.

La validación debe realizarse tanto en el lado del cliente como en el servidor o al menos en el lado del servidor para que los atacantes no puedan simplemente pasar por alto las verificaciones de validación del lado del cliente y aún así realizar ataques de inyección, ¿qué busca evitar la anterior recomendación?. Security Misconfiguraton. Broken Access Control. Injection. Using Components with Known Vulnerabilities.

La validación de entrada es el proceso de verificación que garantiza que los datos que se proporcionaron para el procesamiento sean del tipo y formato correctos. Verdadero. Falso.

“Realice un inventario continuo de las versiones de los componentes del lado del servidor (p. Ej. Frameworks, bibliotecas) y sus dependencias utilizando herramientas como versiones. DependencyCheck, retire.js, etc. Supervise continuamente fuentes como CVE y NVD para detectar vulnerabilidades en los componentes. Utilice herramientas de análisis de composición de software para automatizar el proceso. Suscribase para recibir alertas por correo electrónico sobre vulnerabilidades de seguridad relacionadas con los componentes que utiliza.” ¿Qué categoría de amenaza nos ayudaría a evitar la anterior recomendación?. Insecure Deserialization. Sensitive Data Exposure. XML External Entities. Using Components with Known Vulnerabilities.

El control de versiones del software no solo garantiza que el equipo de desarrollo esté trabajando con la versión correcta del código, sino que también brinda la capacidad de retroceder a una versión anterior en caso de que sea necesario. Verdadero. Falso.

¿A qué característica de software nos estamos refiriendo en el siguiente ejemplo? Al hacer una transferencia bancaria se espera que el monto transferido sea exactamente el monto que se autorizó. ¿A qué característica de software nos estamos refiriendo?. Disponibilidad. Integridad. Confidencialidad. No Repudio.

Los beneficios de realizar el análisis de código estático son que los errores y las vulnerabilidades pueden detectarse de forma tardía y abordarse después de la implementación del software. Verdadero. Falso.

¿Qué técnica se utiliza para condensar entradas de longitud variable en una salida irreversible de tamaño fijo conocida como digest de mensaje o valor hash?. Algoritmos naturales. Funciones de hash. Firmas digitales. Algoritmos de encriptación.

¿Cuál es el instrumento a través del cual se identifican los activos digitales que requieren protección?. Agente de amenazas. Estándares. Políticas de seguridad. Reglas.

La _________ es un principio de seguridad que establece que las solicitudes de acceso deben ser medidas siempre, de modo que no se eluda la autoridad en solicitudes posteriores. Separación de responsabilidades. Fallo Seguro. Defensa a profundidad. Mediación Completa.

Los mensajes de error son una de las primeras fuentes que un atacante buscara para determinar la información sobre el software. Falso. Verdadero.

Complete la oración: La se puede realizar alternando el orden de las instrucciones de ejecución del programa, cambiando el grafico de control mediante la inserción de instrucciones de salto arbitrario. Transformación de datos. Ofuscación de identificadores. Ofuscación de direcciones. Ofuscación de flujo de Código.

Un foro PHP utiliza la socialización de objetos PHP para guardar una “súper” cookie, que contiene el ID del usuario, el rol, el hash de la contraseña y otro estado del usuario: A:4:{i:0;i:132;i:1;s:7:”Mallory”;i:2;s:4:”user”;i:3;s:32:”b6a8b3bea87fe0e05022f8f3c88bc960”;} Un atacante cambia el objeto serializado para otorgarse privilegios de administrador: a:4:{i:0;i:1;i:1;s:5:”Alice”;i:2;s:5:”admin”;i:3;s:32:”b6a8b3bea87fe0e05022f8f3c88bc960”;} ¿Cómo se clasificaría el escenario descrito?. Insufficient Logging and Monitoring. Insecure Deserialization. XML External Entities. Using Components with Known Vulnerabilities.

Almacenar la clave criptográfica junto con los datos que se están respaldando, es un ejemplo de vulnerabilidad criptográfica. Verdadero. Falso.

Los datos en una base de datos NO relacional, ¿de qué tipo son?. Estructurados. No estructurados. Planos. Semi estructurados.

El dueño del negocio también se conoce como el dueño de los datos. Verdadero. Falso.

Establezca un monitoreo y alertas efectivos para que las actividades sospechosas sean detectadas y respondidas de manera oportuna, ¿contra qué categoría se protege a sus sistema realizando lo anterior?. Injection. Insufficient Logging and Monitoring. Sensitive Data Exposure. Using Components with Known Vulnerabilities.