M17 - UF3 - Seguridad en aplicaciones Web

¿Qué característica permite a una SPA mejorar la experiencia del usuario?. Ejecutarse sin JavaScript. No usar cookies. Actualizar contenido sin recargar toda la página. Usar únicamente HTML estático.

¿Cuál es una ventaja de las aplicaciones web monolíticas?. Simplicidad inicial en el desarrollo. Mayor escalabilidad inmediata. Separación total de servicios. Mejora del rendimiento por microservicios.

¿Qué tipo de aplicación web combina funciones móviles y web y permite trabajar offline?. SPA. PWA. REST. MVC.

¿Qué arquitectura usa pequeños servicios independientes comunicándose entre sí?. Monolítica. MVC. Microservicios. FTP.

¿Qué ventaja tiene una aplicación basada en cliente respecto a una basada en servidor?. Más seguridad. Reducción de carga en el servidor. Más dependencias. No requiere navegador.

¿Qué tipo de ataque manipula las consultas SQL de una aplicación?. XSS. DoS. Inyección SQL. CSRF.

¿Qué tipo de XSS se almacena en la base de datos del servidor?. Reflejado. Almacenado. Basado en DOM. Ofuscado.

¿Qué ataque se basa en usar el servidor como proxy para acceder a recursos internos?. SSRF. SQLi. Ping flood. MITM.

¿Qué ocurre en un ataque de fuerza bruta?. Se saturan los logs. Se infecta con malware. Se prueban combinaciones de contraseñas automáticamente. Se fuerza la caché.

¿Qué tipo de ataque roba el token de sesión de un usuario?. SQLi. CSP. Secuestro de sesión. Flooding.

¿Cómo se transmiten las credenciales en BasicAuth?. Cifradas con SHA256. Codificadas en Base64. En JSON. Encriptadas con clave pública.

¿Qué diferencia a Digest Authentication de BasicAuth?. Usa TLS. Cifra las credenciales con un hash. Requiere tarjeta física. No necesita contraseña.

¿Qué ofrece un certificado digital SSL/TLS en autenticación?. Autenticación mutua y cifrado. Reenvío de contraseñas. Firewall integrado. Sincronización de sesiones.

¿Qué incluye el segundo factor en MFA?. Solo contraseña. Algoritmo de hashing. Algo que tienes o eres. DNS personalizado.

¿Qué ventaja tiene OAuth 2.0 frente a autenticación tradicional?. Usa contraseñas por defecto. Permite delegar acceso sin compartir credenciales. No funciona con móviles. Solo opera en redes locales.

¿Qué protocolo se construye sobre OAuth 2.0 y añade identidad del usuario?. SAML. OpenID Connect. Kerberos. LDAP.

¿Qué ventaja tiene Kerberos respecto a otros métodos?. Funciona sin servidor. Usa contraseñas en texto plano. Utiliza tickets y clave simétrica. Es para navegadores móviles.

¿Qué elimina FIDO2 del proceso de autenticación?. La conexión. Las contraseñas. El cifrado. Los tokens OTP.

¿Qué requiere WebAuthn para funcionar correctamente?. Usuario root. Hardware compatible (biometría, llaves). FTP activo. TLS 1.0.

¿Qué ventaja aporta un token OTP?. Carga más rápido. Código válido solo una vez. Permite múltiples usuarios. Se comparte entre apps.

¿Qué es una buena práctica contra ataques XSS?. Codificar los datos de salida. Ocultar la IP del usuario. Usar FTP. Eliminar logs.

¿Cómo previenen las consultas parametrizadas la inyección SQL?. Ejecutan comandos. Codifican scripts. Separan instrucciones y datos. Usan proxy inverso.

¿Qué hace un procedimiento almacenado en SQL?. Muestra HTML. Ejecuta comandos en cliente. Reutiliza lógica predefinida en la base de datos. Codifica en Base64.

¿Qué tipo de control limita el acceso según el rol del usuario?. ABAC. RBAC. SAML. NAT.

¿Qué factor se evalúa en ABAC?. Solo nombre. Hora y fecha del sistema. Atributos como ubicación o dispositivo. Versión del navegador.

¿Qué herramienta detecta actividades anómalas en logs?. SIEM. SSH. HTML5. FTP.

¿Qué medida debe aplicarse para proteger cookies?. No usar cookies. Establecer HttpOnly y Secure. Almacenar en texto plano. Compartir entre subdominios.

¿Qué cabecera HTTP protege contra ataques XSS?. X-Session-Log. X-XSS-Protection. Accept-Encoding. Content-Length.

¿Qué método bloquea cookies de scripts del lado cliente?. CSRF token. HttpOnly. iframe. DNSSEC.

¿Qué mejora la integridad de sesiones activas?. Usar SSL 2.0. Expiración y regeneración de tokens. Guardar tokens en URL. No registrar actividad.

¿Qué directiva de Apache oculta su versión?. AllowOverride All. ServerTokens Prod. KeepAlive On. Listen 80.

¿Para qué sirve Options -Indexes en Apache?. Evita mostrar la lista de archivos si no hay index. Redirige tráfico a HTTPS. Cifra logs. Activa cookies.

¿Qué módulo de Apache protege contra XSS y SQLi?. mod_php. mod_ssl. ModSecurity. mod_fcgid.

¿Qué es OWASP CRS?. Firewall físico. Conjunto de reglas para WAF como ModSecurity. Escáner de red. Plugin de navegador.

¿Qué puerto HTTPS usa un servidor Apache configurado con TLS?. 21. 8080. 443. 25.

¿Qué hace TraceEnable Off?. Cierra la conexión. Desactiva el método TRACE en Apache. Activa DNSSEC. Muestra el encabezado Server.

¿Qué comando activa SSL en Apache?. apt install apache2. a2enmod ssl. mkdir ssl. reload apache.

¿Qué hace la cabecera X-Content-Type-Options: nosniff?. Aumenta tamaño de archivo. Evita interpretación errónea de MIME types. Borra logs. Redirecciona IPs.

¿Qué ventaja tiene Nginx frente a Apache en alto tráfico?. Mejor compatibilidad con ASP.NET. Modelo basado en eventos y bajo consumo. Más plugins. Interface gráfica.

¿Qué comando protege archivos ocultos en Nginx?. allow all;. return 403;. location ~ /. { deny all; }. listen 8080.

¿Qué herramienta permite configurar protocolos seguros en IIS?. Apache2ctl. NginxMod. IIS Crypto. OpenSSL.

¿Qué protocolo se debe desactivar en IIS por inseguridad?. TLS 1.3. HTTPS. SSL 2.0. FTPS.

¿Qué cabecera HTTP se configura en IIS para evitar clickjacking?. Access-Control-Allow-Origin. X-Frame-Options. Cookie-Policy. Accept-Encoding.

¿Qué herramienta de Microsoft ayuda con políticas de cumplimiento en servidores?. Paint. Microsoft Firewall. Security Compliance Toolkit. Active Directory.

¿Qué función cumple Dynamic IP Restrictions en IIS?. Balancear carga. Limitar peticiones por IP para evitar fuerza bruta. Generar logs. Asignar certificados.

¿Qué ventaja ofrece el Administrador de IIS frente a Apache o Nginx?. Es más ligero. Interfaz gráfica de configuración. Mejor soporte de PHP. Compila código.

¿Qué lenguaje usa IIS por defecto en su ecosistema?. Python. ASP.NET. Perl. Ruby.

¿Qué módulo de IIS permite gestión avanzada de logs?. Rewrite. Logging. FTP. PHP-Handler.

¿Qué herramienta permite aplicar configuraciones seguras en IIS según normas PCI-DSS?. Nagios. IIS Crypto. Telnet. mod_ssl.

¿Qué método de autenticación se integra con Active Directory en IIS?. OpenID. OAuth. Autenticación Windows. BasicAuth.