DSSA Test 23-C
COMENTARIOS |
ESTADÍSTICAS |
RÉCORDS
|
Título del Test: DSSA Test 23-C Descripción: DSSA Test 23-C |
Nuevo Comentario| Comentarios |
|---|
NO HAY REGISTROS |
|
Señalar la respuesta correcta. Un auditor de SI que realiza una revisión de controles de acceso debería estar MENOS preocupado si: Las pistas de auditoría no estuvieran habilitadas. Los programadores tuvieran acceso al entorno en vivo. Los logons de grupo estuvieran siendo utilizados para funciones críticas. El mismo usuario pudiera iniciar transacciones y también cambiar los parámetros relacionados. Señalar la respuesta correcta. ¿En qué consiste el control de organización y operación: separación de entornos?. En hacer copias de seguridad de los diferentes entornos/ambientes. En tener siempre solo 2 entornos/ambientes: 1 para desarrollo y otro para producción. En tener 3 ó 4 entornos/ambientes: desarrollo, testing, preproducción y explotación. En tener solo 2 entornos/ambientes donde la información se intercambia indistintamente. Señalar la respuesta incorrecta. Los requisitos de los servicios de seguridad debe especificar: Propiedades que el software debe exhibir. Nivel requerido de seguridad y salvaguardas de riesgo de las funciones de seguridad. Los controles y normas que rigen los procesos de desarrollo, implementación y operación del software. Están orientados hacia la reducción o eliminación de las vulnerabilidades del software, como validación de entradas, comprobación de límites de búfer, ejecución entornos aislados. 4. Señalar respuesta correcta. ¿Qué tipo de vulnerabilidad se comete en este código? struct hostent *hp; struct in_addr myaddr; * tHost ="trustme.com"; myaddr.s_addr =inet_addr(ip_addr_string); hp = gethostbyaddr(( *)&myaddr, sizeof(struct in_addr), AF_INET); if (hp &&!strncmp(hp->h_name, tHost, sizeof(tHost))) { trusted = true; } else { trusted = false;}. Validación límites de confianza. Buffer overflow. Memory leaks. Validación de entrada DNS. Señalar la respuesta incorrecta. Los elementos clave de un proceso de S- SDLC son: Sostenimiento seguro. Herramientas de apoyo al desarrollo. Conocimientos de seguridad de los desarrolladores. Gestión de configuración del entorno de desarrollo. Señalar la respuesta incorrecta. Ejemplo de errores comunes a la hora de aplicar el principio de “Mínimo Privilegio”: Aplicación de derechos de administrador. Usuarios con derechos de administrador. Instalación de aplicaciones y servicios con el usuario de administrador. Servicios y procesos con privilegios por tiempo definido. Señalar la respuesta incorrecta. Los factores principales prácticos que determinan la utilidad de una herramienta de análisis estático son: El equilibrio que la herramienta hace entre la extensión del código fuente y el tipo de lenguaje de programación. Porcentaje de falsos positivos y falsos negativos de la herramienta. El conjunto de errores que la herramienta comprueba. Las características de la herramienta para hacerla fácil de usar. Señalar la respuesta incorrecta. En las pruebas del tipo “Análisis hibrido o Interactive Application Security Testing (IAST)”, se realizan tres tipos de análisis: Análisis de cobertura. Pone de manifiesto las interacciones entre las diferentes partes del programa. Análisis de inconsistencias, Permite buscar inconsistencia en la aplicación a probar. Análisis de patrones. Permite buscar patrones específicos en la ejecución del programa, tales como excepciones no capturadas, omisiones, errores de memoria dinámica y problemas de seguridad. Análisis de frecuencia de espectro. Revela las dependencias entre los componentes del programa. Señalar la respuesta correcta. Apreciar el nivel de entrenamiento y conciencia de los individuos que no forman parte del equipo de recuperación/respuesta se corresponde al área de la auditoría de un Plan de Recuperación ante Desastres: La resiliencia del sistema. Copias de seguridad y restauración de datos. Verificar la integridad y precisión del DRP. Evaluar el desempeño del personal involucrado en el DRP. Señalar la respuesta incorrecta. Para realizar un DRP se debería seguir las siguientes fases: Alinearlo con el plan de continuidad de negocio. Actualizar y mejorar el plan estratégico. Capacitar a los encargados de ponerlo en marcha, concienciar y difundir el plan. Realizar pruebas. Sea el caso de un CPD de un Banco Internacional que expone sus servicios a través de Internet. -Escriba y realice un listado y descripción de al menos 6 amenazas que puedan materializarse en un CPD y su matriz EDR. Sea el caso de un CPD de un Banco Internacional que expone sus servicios a través de Internet. -Describa el alcance y metodología de una auditoria de cumplimiento con respecto a la norma PCI DDS a realizar en el Banco. Desarrolle el siguiente tema “Aspectos prácticos de manejo de las herramientas de Análisis Estático de Código. Explicar qué tipo de vulnerabilidad se comete y como se remedia en este fragmento de código: char *FixFilename(char *filename, int cd, int *ret) { ... char fn[128], user[128], *s; ... s = strrchr(filename,'/'); if(s) { strcpy(fn,s+1);. Explicar qué tipo de vulnerabilidad se comete y como se remedia en este fragmento de código: int * ab = (int*)malloc (SIZE); ... if (c == 'EOF') { free(ab); } ... |