OWASP ZAP – Introducción (Pruebas de Seguridad)

¿Cuál es el objetivo principal del proyecto OWASP?. Crear herramientas comerciales de seguridad. Proveer estándares abiertos para el desarrollo seguro. Reemplazar los procesos tradicionales de QA. Automatizar completamente las pruebas funcionales.

¿Qué representa el OWASP Top 10?. Las 10 herramientas más usadas para pruebas de seguridad. Los 10 errores más comunes en código Java. Las 10 vulnerabilidades web más críticas. Un checklist de pruebas funcionales.

OWASP ZAP es principalmente una herramienta de tipo: Escaneo de infraestructura. Pruebas de rendimiento. Pruebas de seguridad en aplicaciones web. Automatización funcional.

¿Cuál de las siguientes vulnerabilidades pertenece al OWASP Top 10?. Memory Leak. Broken Access Control. Deadlock. Race Condition.

¿Por qué es importante integrar pruebas OWASP en proyectos bancarios?. Para reducir el tiempo de ejecución de pruebas. Para cumplir únicamente con requerimientos técnicos. Por el alto riesgo de exposición de datos sensibles. Porque reemplaza auditorías externas.

¿Qué tipo de pruebas cubre principalmente OWASP ZAP?. Pruebas unitarias. Pruebas no funcionales. Pruebas de regresión. Pruebas de aceptación.

¿Qué enfoque utiliza OWASP ZAP para detectar vulnerabilidades?. Pruebas de caja blanca. Pruebas de caja negra. Pruebas de caja gris únicamente. Revisión manual de código.

¿Cuál es una ventaja clave de OWASP ZAP?. Es una herramienta propietaria. Solo funciona en entornos productivos. Es gratuita y de código abierto. Requiere licencias bancarias especiales.

En un escaneo activo con OWASP ZAP, la herramienta: Solo analiza el código fuente. Ejecuta ataques simulados contra la aplicación. Revisa logs del servidor. Valida reglas de negocio.

¿Qué vulnerabilidad se relaciona con la exposición de datos sensibles?. Injection. Security Misconfiguration. Cryptographic Failures. SSRF.

¿Cuándo es más efectivo ejecutar pruebas con OWASP ZAP?. Solo al final del proyecto. Únicamente en producción. Integradas de forma temprana en el ciclo de desarrollo. Después de las pruebas de aceptación del usuar.

¿Qué rol suele ejecutar OWASP ZAP dentro de un equipo QA?. Product Owner. Desarrollador backend. QA / Tester de seguridad. Scrum Maste.

Un falso positivo en OWASP ZAP significa que: La vulnerabilidad fue corregida. El sistema fue comprometido. Se reporta una vulnerabilidad que no existe. El escaneo no se ejecutó correctamente.

¿Cuál es una limitación de OWASP ZAP?. No detecta ninguna vulnerabilidad. Requiere revisión manual de resultados. Solo funciona con aplicaciones móviles. No soporta HTTP.

¿Qué vulnerabilidad permite ejecutar código malicioso mediante entradas del usuario?. Broken Authentication. Injection. Insecure Design. Logging Failures.

¿Qué salida principal genera OWASP ZAP tras un escaneo?. Casos de prueba funcionales. Reportes de vulnerabilidades. Scripts de automatización. Diagramas UML.

En un entorno bancario, ¿qué vulnerabilidad es más crítica?. Broken Access Control. Clickjacking. Information Disclosure. Todas las anteriores.

Si OWASP ZAP detecta múltiples vulnerabilidades de severidad media, ¿qué debe hacer el QA?. Ignorarlas. Cerrarlas automáticamente. Analizarlas, priorizarlas y reportarlas al equipo. Ejecutar pruebas funcionales.

Durante una prueba de seguridad con ZAP, un tester configura el "Contexto" para una aplicación, definiendo URL, tecnologías y métodos de autenticación. Al ejecutar un Active Scan, ZAP solo prueba un subconjunto de parámetros en las solicitudes POST. ¿Qué configuración o técnica avanzada debería aplicar el tester para asegurar una cobertura más completa de los puntos de entrada de datos?. Aumentar la potencia del escaneo (Attack Strength) a "High". Habilitar la opción "Handle Anti-CSRF Tokens". Usar la funcionalidad "Forced Browse" para descubrir directorios ocultos. Configurar "Input Vectors" en el sitio específico para incluir todos los parámetros POST, cabeceras (headers) y cookies.

La vulnerabilidad A07: Identification and Authentication Failures puede mitigarse con varios controles. Desde la perspectiva de un tester que utiliza ZAP para probar estos controles, ¿cuál de los siguientes NO sería un enfoque de prueba válido?. Usar el atacante "Brute Force" en ZAP para probar la fortaleza de las contraseñas y los mecanismos de bloqueo de cuentas. Analizar manualmente las respuestas de error para ver si revelan si un nombre de usuario es válido o no. Verificar con el escaneo pasivo si las credenciales se transmiten sobre conexiones no cifradas (HTTP). Ejecutar un escaneo de inyección SQL para verificar la robustez del backend de la base de datos.