M17 Seguridad en sistemas, redes y servicios UF3

"Si hablo de ""la vulnerabilidad de la seguridad web que permite a un atacante interferir con las consultas que una aplicación realiza a su base de datos"", me estoy refiriendo a ….". Inyección SQL. Inyección JSON. Inyección XML. Inyección HTML.

¿Qué atributo de element.setAttribut del DOM es más inseguro?. color. align. onclick. border.

"¿Qué protocolo de autenticación de HTTP codifica el nombre de usuario y la contraseña usando base64 y lo envía bajo el encabezado ""Autorización""?". Ninguna de las otras respuestas son correctas. SSL. Digest Authentication. BasicAuth.

¿Cuál de los siguientes es un inconveniente en el uso del e-Tag de HTTP?. La problemática que genera al usar balanceadores con dos o más servidores detrás. La existencia de un WAF. La existencia firewall. El no usar HTTPS.

¿Qué método HTTP se encarga de solicitar datos de un recurso?. OPTIONS. DELETE. PUT. GET.

"Si logro inyectar el siguiente código ""<!--#exec cmd=""ls"" -->""estoy logrando…". XSS - Inyección de script. Inyección SQL. Inyección SSI. XEE - Inyección de XML.

"Si en el fichero de configuración Web pongo ""TraceEnable off"", me suelo proteger contra …". Ataques de captura de la cache. Ataques de rastreo de sitios cruzados. Ninguna de las otras respuestas son correctas. Ataques de modificación de SQL.

¿Qué modifico en un ataque XEE?. CSS. XML. HTML. Javascript.

¿Qué protocolo de autentificación HTTP utiliza el HASH para enviar los datos de usuario y contraseña?. Digest Authentication. SSL. Ninguna de las otras respuestas son correctas. BasicAuth.

¿Cuál de los siguientes métodos consideras más peligroso desde el punto de vista de la seguridad?. OPTIONS. GET. POST. PUT.

Cuando se inyecta código HTML malicioso a través de ingeniería social (por ejemplo correo electrónico) estamos hablando de …. Ninguna de las otras respuestas son correctas. Inyección de HTML almacenada. Inyección de HTML reflejada. Inyección de HTML inyectada.

¿Cuál es la principal función del e-Tag de HTTP?. Mejorar el rendimiento y la seguridad. Mejorar la seguridad. Mejorar el rendimiento. Ninguna de las otras respuestas son correctas.

"¿Qué es el Mod Security""?". Un Firewall. Un WAF. Un IDE. Un Proxy.

¿Qué tipo de ataque XSS es aquel que inyecta el script usando propiedades del Javascript?. XSS Prevención. XSS DOM. XSS Almacenado. XSS Reflejado.

¿Qué tipo de inyección SQL es aquella en la que los resultados de la consulta no se devuelven en la respuesta de la aplicación?. Inyección SQL a ciegas. Recuperación de datos oculto mediante inyección SQL. Ataques SQL UNION. Modificación de la lógica de la aplicación mediante inyección SQL.

Sobre WebDAV, indica la respuesta incorrecta. No se puede usar con TLS. Se puede usar con SSL conjuntamente con HTTPS. Es más rápido que el Samba. Ninguna de las otras respuestas son correctas.

Si logramos inyectar código HTML en el servidor, ¿estamos hablando de?. Inyección de HTML reflejada. Ninguna de las otras respuestas son correctas. Inyección de HTML almacenada. Inyección de HTML inyectada.

Indica la respuesta incorrecta. El método GET se almacena en la caché. En el método POST, los datos enviados en la URL son visibles. El método GET es menos seguro. El método POST permite el envío de datos binarios.

¿Cuál de las siguientes opciones NO se suele usar para prevenir ataques XSS?. Cifrar la comunicación con SSL. Usar encabezados HTTP adecuados. Codificar los datos de salida. Filtras la entrada con valores válidos.

Indica la respuesta incorrecta. El método GET posee restricciones de longitud. El método POST se almacena en la caché. "El método POST no se puede guardar como ""favoritos"" en el navegador". El método GET guarda los parámetros en el historial del navegador.

¿Cuál es el fichero en donde hay directivas de autentificación de usuario en Apache?. .htauth. Ninguna de las otras respuestas son correctas. .htpasswd. .htaccess.

Si pongo una aplicación/funcionalidad maliciosa entre la acción del usuario y la aplicación real, ¿qué tipo de ataque estoy realizando?. Inyección SQL. XSS. Clickjacking. Appjacking.

¿Cuáles de los siguientes no un tipo de inyección reflejada?. URL reflejada. PUT reflejado. POST reflejado. GET reflejado.

"Si modifico el fichero de configuración de un servidor Web con las opciones ""ServerToken Prod"" y ""ServerSignature Off"", ¿Qué logro?". Deshabilitar la firma del token. Protección contra inyección SQL. Protección contra XSS. Elimina el banner de la versión del servidor.

¿Indica cuál de los siguientes no es un método del protocolo HTTP?. GET. PUT. SSL. OPTIONS.

¿Qué tipo de ataque XSS es aquel que inyecta el script dentro de la base de datos?. XSS Prevención. XSS Reflejado. XSS DOM. XSS Almacenado.

¿Qué protocolo se encarga de permitirnos de forma sencilla guardar, editar, copiar, mover y compartir archivos desde servidores web. SSH. HTTP. FTP. WebDAV.

¿Qué tipo de ataque XSS es aquel que inyecta el script dentro de la URL?. XSS Almacenado. XSS Reflejado. XSS DOM. XSS Prevención.

Indica cuál de los siguientes NO es un tipo de ataque XSS. XSS Prevención. XSS DOM. XSS Almacenado. XSS Reflejado.

¿Cuál es la protección más usada y más efectiva para inyección SQL?. Escapar caracteres especiales. Las consulta parametrizadas. Escapar la palabra <script>. Ninguna de las otras respuestas son correctas.

"El siguiente comando ""Options -Indexes +IncludesNOEXEC""en la configuración del servidor web me protege contra ...". XSS - Inyección de script. Inyección SQL. Inyección SSI. XEE - Inyección de XML.

"Si modifico el fichero de configuración con la siguiente opción ""Header always append X-Frame-Options SAMEORIGIN"", contra qué logro protegerme?". Appjacking. Clickjacking. Inyección SQL. XSS.