DWS preguntas

¿Cuál de las siguientes afirmaciones NO contribuye a mitigar ataques de tipo XSS?. Escapar caracteres especiales en la salida HTML generada por el servidor. Validar que los campos del formulario no contengan secuencias como <script>. Habilitar CORS solo para orígenes de confianza. Utilizar cabeceras como Content-Security-Policy.

¿Cuál de las siguientes afirmaciones sobre @ControllerAdvice en Spring es correcta?. Permite definir respuestas JSON personalizadas para errores globales. Se utiliza para aplicar anotaciones de seguridad en las vistas. Es equivalente a @RestController. Solo es válida para aplicaciones monolíticas.

¿Qué tipo de ataque permite a un atacante acceder a recursos internos desde el propio servidor, usando peticiones manipuladas?. Cross-Site Scripting. Cross-Site Request Forgery. Server-Side Request Forgery. Inyección de Cabeceras HTTP.

¿Qué técnica es la más adecuada para evitar inyecciones SQL?. Filtrar los caracteres especiales de entrada. Usar consultas concatenadas solo con validación previa. Usar consultas preparadas con parámetros. Limitar el número de resultados devueltos.

¿Qué afirmación describe mejor la diferencia entre una Cookie de tipo HttpOnly y una sin esa bandera?. Las cookies HttpOnly no pueden ser leídas ni manipuladas por JavaScript. Las cookies HttpOnly solo pueden ser usadas con HTTPS. Las cookies sin HttpOnly nunca se envían al servidor. No existe diferencia funcional entre ambas.

En Spring Security, ¿qué hace el método configure(HttpSecurity http)?. Configura la conexión con la base de datos de usuarios. Define los controladores de redirección después del login. Permite personalizar las reglas de seguridad sobre las rutas y autenticación. Establece el perfil de ejecución de la aplicación.

¿Qué vulnerabilidad permite a un atacante ejecutar comandos directamente en el servidor?. XSS Reflejado. Path Traversal. Inyección de comandos (Command Injection). Clickjacking.

¿Cuál de las siguientes afirmaciones sobre CORS es FALSA?. CORS es una política de navegador, no del servidor. CORS puede permitir o bloquear solicitudes entre orígenes distintos. El encabezado Access-Control-Allow-Origin debe ser correctamente configurado. CORS permite evitar XSS reflejado.

¿Cuál es la afirmación más precisa sobre el uso de OAuth2 para autenticación?. OAuth2 se diseñó específicamente para autenticación. OAuth2 se basa únicamente en contraseñas compartidas. OAuth2 permite delegar acceso a recursos sin compartir credenciales. OAuth2 no puede usarse con aplicaciones móviles.

¿Cuál de los siguientes escenarios representa un riesgo de elevación de privilegios?. Un usuario registrado puede cambiar su propia contraseña. Un usuario estándar puede acceder a una URL de administrador mediante modificación de la URL. Un usuario autenticado accede a un perfil público de otro usuario. El sistema invalida correctamente los tokens al hacer logout.

¿Cuál es una medida válida contra ataques de tipo Clickjacking?. Establecer X-Frame-Options: DENY en las cabeceras HTTP. Desactivar JavaScript en el navegador. Usar una política de no-cache en el servidor. Cifrar las cookies con AES-256.

En una aplicación Spring Boot, ¿cómo podemos garantizar que el usuario esté autenticado antes de acceder a una ruta protegida?. Configurando el archivo application.properties. Anotando el método con @RestController. Usando @PreAuthorize o configurando los accesos en HttpSecurity. Agregando un interceptor HTTP manual.

¿Cuál es el objetivo principal de una política Content-Security-Policy (CSP)?. Validar formularios del lado del cliente. Limitar la ejecución de código malicioso inyectado. Controlar el tiempo de sesión. Encriptar tráfico entre cliente y servidor.

¿Cuál es una ventaja del patrón DTO en una arquitectura Spring?. Mejora la autenticación entre capas. Permite generar automáticamente interfaces web. Permite controlar qué datos se exponen al cliente. Almacena entidades directamente en la base de datos.

¿Cuál es el riesgo de utilizar objetos de dominio directamente como modelos en respuestas REST?. Mejora el rendimiento pero oculta validaciones. Puede exponer relaciones y datos sensibles no intencionados. Impide el uso de anotaciones como @JsonIgnore. No representa ningún riesgo.

¿Qué hace el método logout() en una configuración de Spring Security?. Borra el token JWT en la base de datos. Elimina la sesión del lado del servidor y redirige al usuario. Finaliza la aplicación. Cierra el navegador del usuario.

¿Qué afirmación es cierta respecto a CSRF y autenticación basada en cookies?. CSRF no afecta a aplicaciones que usan sesiones con cookies. CSRF se mitiga automáticamente si usamos HTTPS. Las cookies se envían automáticamente en peticiones incluso desde sitios externos. Las cookies solo se envían desde el mismo origen.

¿Cuál de las siguientes afirmaciones sobre sesiones en aplicaciones web es verdadera?. Las sesiones deben tener una duración ilimitada para evitar molestias al usuario. Las sesiones pueden almacenarse tanto en memoria como en bases de datos. No es necesario regenerar el ID de sesión tras autenticarse. El ID de sesión debe exponerse como parámetro en la URL.

¿Cuál de los siguientes encabezados HTTP ayuda a proteger contra XSS?. Strict-Transport-Security. Content-Type: text/html. X-Content-Type-Options: nosniff. X-Frame-Options.

¿Qué indica la cabecera HTTP Strict-Transport-Security?. Que el sitio no debe ser indexado por buscadores. Que solo debe cargarse mediante HTTPS en futuras visitas. Que el sitio no permite cookies. Que las peticiones deben usar HTTP 2.0.