option
Cuestiones
ayuda
daypo
buscar.php

PERROS QUE SE APROVECHAN DEL TRABAJO DE LOS DEMAS

COMENTARIOS ESTADÍSTICAS RÉCORDS
REALIZAR TEST
Título del Test:
PERROS QUE SE APROVECHAN DEL TRABAJO DE LOS DEMAS

Descripción:
PERROS QUE SE APROVECHAN DEL TRABAJO DE LOS DEMAS

Fecha de Creación: 2025/07/07

Categoría: Fans

Número Preguntas: 100

Valoración:(0)
COMPARTE EL TEST
Nuevo ComentarioNuevo Comentario
Comentarios
NO HAY REGISTROS
Temario:

¿Para qué recibirá cada servidor las configuraciones de seguridad a través de directivas de grupo en el nivel de Dominio?. Para cumplir los requisitos comunes de seguridad. Para cumplir los requisitos de seguridad específicos del servidor. Para cumplir los requisitos de seguridad de los roles específicos del servidor. Ninguna de las anteriores.

¿Para qué recibirá cada servidor las configuraciones de seguridad a través de directivas de grupo en el nivel de referencia?. Para cumplir los requisitos comunes de seguridad. Para cumplir los requisitos de seguridad específicos del servidor. Para cumplir los requisitos de seguridad de los roles específicos del servidor. Ninguna de las anteriores.

¿Para qué recibirá cada servidor las configuraciones de seguridad a través de directivas de grupo en el nivel de Rol?. Para cumplir los requisitos comunes de seguridad. Para cumplir los requisitos de seguridad específicos del servidor. Para cumplir los requisitos de seguridad de los roles específicos del servidor. Ninguna de las anteriores.

La protección avanzada contra amenazas de Windows Defender (ATP), es una característica de qué Windows server. 2019. 2016. 2022. Ninguna de las anteriores.

¿En qué versión de Windows Server está introducida la novedad Virtual Secure Mode?. 2019. 2016. 2022. Ninguna de las anteriores.

¿En qué versión de Windows Server está introducida la novedad Secured-core server?. 2019. 2016. 2022. Ninguna de las anteriores.

¿A qué afectan las directivas de cuenta?. Solo a las cuentas de usuarios. Solo a las cuentas de servicio. Solo a los administradores. Todas las anteriores son ciertas.

¿Dónde se especifican los cifrados permitidos para Kerberos?. Directivas de cuenta\opciones de seguridad. Directivas locales\opciones de seguridad. Directivas de contraseñas\opciones de seguridad. Ninguna de las anteriores.

Para un controlador de dominio, ¿qué es la directiva de auditoría?. Directiva local. Directiva de cuenta. Directiva de registro. Ninguna de las anteriores.

¿Qué elemento permite delimitar reglas de filtrado para definir el tráfico de red entrante y saliente del servidor que debe ser permitido o denegado?. Reverse proxy. Firewall. Opciones de seguridad. Todas las anteriores son ciertas.

¿Cuáles son los objetivos de seguridad de los sistemas TIC?. No repudio, funcionamiento correcto, trazabilidad, confidencialidad, disponibilidad e integridad. No repudio, trazabilidad, autenticación, autorización y control de acceso, confidencialidad, disponibilidad e integridad. No repudio, autenticación, autorización y control de acceso, confidencialidad, disponibilidad e integridad. A y B son correctas.

¿Cuál de los siguientes corresponde a un modelo de desarrollo de software seguro?. SDL. CLASP. TOUCHPOINTS. Todas las anteriores son ciertas.

¿En qué fase se le debe realizar un test de penetración a una aplicación web?. Diseño. Desarrollo. Pruebas. Producción.

¿De qué depende la derivación de requisitos de seguridad?. El modelado de amenazas o casos de abuso. Del análisis de riesgos. Análisis de seguridad del código fuente. La A y la B.

Antes del test de penetración, ¿qué actividades de seguridad hay que llevar a cabo?. Derivación de requisitos de seguridad. Modelado de amenazas. Análisis de seguridad del código fuente. Todas las anteriores son ciertas.

¿Cuál es el pilar de la seguridad que debe adoptarse para implementar la seguridad de una aplicación web desde el principio deldesarrollo?. SSDLC. SGSI. SQLI. OWASP.

¿Qué método HTTP permite conectarse a un servicio situado detrás de un proxy?. PUT. GET. POST. CONNECT.

¿Qué método HTTP permite obtener solo las cabeceras de la aplicación web?. PUT. HEAD. POST. GET.

¿Qué método HTTP envía los parámetros en la URL?. GET. POST. PUT. Todas las anteriores.

¿Qué puede suponer la vulnerabilidad de HTTP response splitting?. La B y la D son correctas. La inyección de código JAVASCRIPT. La inyección de código SQL. La inyección de código HTML.

¿Cuáles de las siguientes vulnerabilidades son del tipo inyección?. SQLI. CSRF. HTTP response splitting. A y C son correctas.

¿Cuáles de las siguientes vulnerabilidades son del tipo inyección?. ‘or 1=1#. <script>alert("hacked")</script>. …/../template.ini. Ninguna de las anteriores.

¿Cómo se previene SQLI?. Test de penetración. No se puede controlar. Validación de entrada mediante consultas parametrizadas. Análisis de código.

¿Qué te permite hacer Path traversal o inclusión de ficheros?. Permite acceder a recursos del sistema de ficheros no permitidos. Permite autenticarse suplantando a un usuario. Permite robo de credenciales. La A y la C.

¿Cuál es el principal objetivo de XSS?. Navegador. Servidor. Sistema de ficheros del servidor. Ninguna de las anteriores.

¿Cuál es el objetivo de CSRF?. Es cíclico, se basa en monitorización continua. Puede seguir un ciclo PDCA. No afecta a todas las partes de la organización. Aprovecharse de la sesión activa de un usuario en una aplicación.

¿A qué formato afecta la deserialización insegura?. JSON. XML. ARRAY JAVASCRIPT. Todas las anteriores.

¿Path traversal es una vulnerabilidad de la categoría?. Inyección. Violación del control de acceso. Pérdida de autenticación y gestión de sesiones. Ninguna de las anteriores.

¿Cuál de las siguientes opciones sobre la vulnerabilidad CVE es correcta?. Es pública conocida. Puede existir parche. Es relativa a un software concreto. Todas las anteriores.

HTTP response splitting es una vulnerabilidad que puede suponer…. La B y la D son correctas. Inyección de código JAVASCRIPT. Inyección de código SQL. la inyección de código HTML.

¿Cómo envía Basic las credenciales al servidor de aplicaciones?. Cifrados. En claro. Codificadas base-64. HASH MD5.

¿Qué usa Digest?. Nonce. Response. HASH. Todas las anteriores.

¿Qué tipo de tickets usa Kerberos para obtener tikects de servicio?. TGT. TGS. TFS. AES.

¿Qué tipo de tickets usa Kerberos para acceder al servicio?. TGT. TGS. TFS. AES.

¿Cuál es el parámetro en Digest que bien implementado evita ataques de repetición?. MD5. CNONCE. NONCE. Response.

¿Qué usa OAUT2?. Token de acceso servicio. Código de autorización. La a y la b. Ninguna de las anteriores.

¿Qué métodos de AUTH se suelen usar en Active Directory?. NTLM. KERBEROS. DIGEST. La a y la b.

¿Qué usa Kerberos?. BASE64. Tickects. Token. Assertion.

¿Qué ataques pueden darse en la autenticación?. Repetición. Fuerza bruta. MITM. Todas las anteriores.

¿Cuál podría ser una recomendación para una autenticación robusta?. Política robusta de contraseñas. Captcha. SALT. Todas las anteriores.

¿Cuál es la longitud mínima recomendada de un identificador de sesión?. 28 bits. 128 bits. 1024 bits. 2048 bits.

¿Con qué parámetro o parámetros es más segura una cookie?. Secure. Httponly. Expires. Todas las anteriores.

¿Qué tipo de ataque permite suplantar a un usuario?. De repetición capturando un ID de sesión activo. Adivinación del ID de un ID de sesión activo. Fijación de sesión. Todas las anteriores.

¿Qué te permite hacer un token anti-CSRF?. Validar la procedencia de una petición. Evitar XSS. Evitar SQLI. Ninguna de las anteriores.

¿Cuándo se debe crear el ID de sesión?. Antes de la autenticación. Después de la autenticación correcta. En cualquier momento. No es necesario.

¿Dónde puede ubicarse el ID de sesión?. Cabecera SET-COOKIE. Parámetro URL. Parámetro POST. Todas las anteriores.

¿Cómo se denomina la base de datos del mecanismo de autorización?. Lista de control de acceso. Base de datos. Roles. Recursos.

¿Cuál es un ataque a la autorización?. TOCTOU. XSS. LFI. Todos los anteriores.

¿Cuál son mecanismo de defensa para una buena autorización?. Política robusta de contraseñas. Separación de roles y tareas. Administración robusta de permisos. Todas los anteriores.

¿A qué es debido TOCTOU?. A no diseñar operaciones atómicas. A no bloquear el acceso a los recursos debidamente. A no tener un identificador de sesión largo. La A y la B.

¿Cómo validar vulnerabilidades del tipo inyección SQL?. Mejor mediante blacklist que whitelist. Validando en el lado cliente. Mediante sentencias preparadas de SQL. Ninguna de las anteriores.

¿Cuáles de los siguientes es un proyecto con librerías para validación y control de seguridad en el código de varios lenguajes?. OWASP ESAPI. OWASP JAVA ENCODER PROJECT. https://npmjs.com/package/validator. Ninguna de las anteriores.

¿Cómo se previene CSRF?. Validación de salida. Validación de token ANTI-CSRF. Consultas parametrizadas. Ninguna de las anteriores.

La mejor forma de evitar path traversal o inclusión de ficheros: Protegiendo los sistemas de ficheros adecuadamente. Comprobando una lista negra de ficheros no permitidos. Comprobando una lista blanca de ficheros permitidos. La A y la C.

¿Cuáles son formas de prevención de XSS en el código?. Validación de entrada. Validación de salida. Cabecera XSS-protection y Content Security Policy. Todas las anteriores son ciertas.

La vulnerabilidad que puede llevar a un usuario a otro sitio web se denomina: LFI. HTTP response splitting. SQLI. Open redirect.

¿Qué función hay que usar en lugar de eval()?. innerhtml(). innertext(). json.parse(). Las herramientas IAST pueden detectar únicamente, bloquear o sanear la petición.

¿Cómo se pueden evitar vulnerabilidades XXE?. Validando los datos de entrada en el código fuente. Validando los datos de entrada a través del XSD. No admitiendo definiciones DTD. Todas las anteriores son ciertas.

¿Qué parámetro y valor de una cabecera SET-COOKIE permite que las cookies solo se enviarán en el contexto del dominio propio de laaplicación y no se enviarán junto con solicitudes iniciadas por sitios web de terceros?. Samesite:strict. Samesite:none. Samesite:lax. Ninguna de las anteriores.

¿Cuál puede ser una fuente de entrada de datos a una aplicación?. Un formulario. Una conexión TCPIP. Un campo de una tabla de una BD. Todas las anteriores son ciertas.

¿Qué tipo de análisis puede realizar una herramienta SAST para comprobar las interacciones entre distintas funciones?. Intraprocedural. Interprocedural. Semántico. Todos los anteriores.

¿Qué tipo de análisis realiza una herramienta de tipo DAST?. Semántico. Sintáctico. Interprocedural. Intraprodedural.

¿Qué pueden instrumentar las herramientas de tipo IAST?. Código fuente. Peticiones y respuestas. Código ejecutable. Ninguna de las anteriores.

¿En qué fase se realiza el test funcional de seguridad?. Análisis. Diseño. Desarrollo. Pruebas o despliegue.

¿En qué fase se realiza el análisis estático de código fuente?. Análisis. Diseño. Desarrollo. Pruebas o despliegue.

¿De qué se encarga el análisis estático de caja blanca?. Realiza un análisis local de cada función. Realiza un análisis interprocedural entre clases o módulos. Realiza un análisis léxico, sintáctico y semántico del código fuente y configuraciones. Todas las anteriores.

Señalar la afirmación falsa: Las herramientas de análisis de tipo IAST no suelen tener falsos positivos. Las herramientas RASP se pueden utilizar como firewalls de aplicaciones web de tipo software. Las herramientas de tipo IAST normalmente no tienen impacto en el rendimiento. Las herramientas IAST obtienen un informe del análisis de vulnerabilidades.

Selecciona cuál de las siguientes afirmaciones referente a las herramientas de tipo RASP es correcta: Bloquean las peticiones maliciosas que son capaces de explotar una vulnerabilidad. No bloquean, solo detectan vulnerabilidades. Tienen muchos falsos positivos. Todas las anteriores son ciertas.

¿En qué fase se usan las herramientas de tipo RASP?. Análisis. Diseño. Desarrollo. Producción.

Señalar la afirmación correcta en cuanto a herramientas de análisis de la seguridad SAST. Las herramientas SAST no cubren todo en el código de la aplicación. Las herramientas SAST tienen falsos negativos y falsos positivos. Las herramientas SAST no pueden analizar el código ejecutable. Todas las anteriores son falsas.

¿Qué utiliza un WAF para detectar y bloquear ataques web?. Expresiones regulares. Análisis semántico. No bloquea ataques. Ninguna de las anteriores.

¿Qué tipo de instalación de un WAF detecta, pero no bloquea un ataque?. Bridge. Proxy reverso. Pasivo. Ninguna de las anteriores.

¿Qué tipo de instalación es la más recomendable para un WAF?. Bridge. Proxy reverso. Pasivo. Ninguna de las anteriores.

¿Cuál es el modo de instalación de un WAF que no necesita cambiar la configuración IP de la LAN de la organización?. Bridge. Proxy reverso. Pasivo. Ninguna de las anteriores.

¿Cuáles son formas de diseño de un WAF?. Hardware específico. Embebido en el hardware. Servidor de propósito general. Todas las anteriores son ciertas.

¿Cuáles de las siguientes opciones corresponden a defensas frente a ataques de denegación de servicio?. Balanceadores de carga. Cluster de servidores. WAF. Todas las anteriores.

Señala la afirmación falsa: Las herramientas de análisis de tipo IAST no suelen tener falsos positivos. Las herramientas RASP no se pueden utilizar como firewalls de aplicaciones web de tipo software. Las herramientas de tipo IAST normalmente tienen impacto en el rendimiento. Las herramientas IAST únicamente pueden detectar, bloquear o sanear la petición.

¿De qué forma se pueden instalar los firewalls de aplicaciones web?. Reverse proxy. Modo transparente. Modo pasivo. Todas las anteriores son ciertas.

Respecto a las variantes de instalación de los firewalls de aplicaciones web, señala cuál de las siguientes afirmaciones es la correcta: La configuración en modo proxy inverso es la más deseable. Se debe proporcionar redundancia en la configuración con dos WAF. Todas son correctas. Blacklist consiste en mantener una base de datos de firmas de ataques mientras que whitelist consiste en tener un modelo detráfico aceptado entre la aplicación y el cliente.

¿Con qué parámetro se debe configurar idealmente la cabecera X-FRAME-OPTIONS?. none. *. all. Todas las anteriores son falsas.

¿Qué tres componentes incorpora Azure Key Vaull?. Almacenes. Secretos. Claves. Todas las anteriores.

¿Cuál de las siguientes opciones se puede utilizar para administrar la gobernanza en varias suscripciones de Azure?. Recursos. Grupos de recursos. Grupos de administración. Ninguna de las anteriores.

¿Cuál de siguientes opciones es una unidad lógica de servicios de Azure asociada a una cuenta de Azure?. Subscripción de Azure. Grupo de administración. Grupo de recursos. Ninguna de las anteriores.

¿Cuál de las siguientes propiedades no se aplica a los grupos de recursos?: Los recursos solo pueden incluirse en un grupo de recursos. Control de acceso basado en rol. Se pueden anidar. Ninguna de las anteriores.

¿Cuál de las siguientes afirmaciones sobre la suscripción de Azure es válida?. El uso de Azure no requiere una suscripción. Una suscripción de Azure es una unidad lógica de servicios de Azure. Se puede requerir suscripción o no. Todas las anteriores son ciertas.

¿Qué información proporciona un elemento Action en una definición de roles?. Un elemento Action facilita las capacidades de administración que están permitidas. Un elemento Action determina qué datos puede manipular el rol. decide a qué recurso se aplica el rol. Todas las anteriores.

¿Cómo se usa NotActions en una definición de roles?. NotActions se restan de Actions para definir la lista de operaciones permitidas. NotActions se consulta después de Actions para denegar el acceso a una operación específica. NotActions permite especificar una única operación que no está permitida. Ninguna de las anteriores.

¿Qué es una definición de roles en Azure?. Una colección de permisos con un nombre que se puede asignar a un usuario, grupo o aplicación. La colección de usuarios, grupos o aplicaciones que tienen permisos para un rol. El enlace de un rol a una entidad de seguridad en un ámbito específico para conceder acceso. Todas las anteriores son ciertas.

Un administrador quiere asignar un rol para permitir a un usuario crear y administrar recursos de Azure, pero sin poder concederacceso a otros usuarios. ¿Cuál de los siguientes roles integrados admitiría esta posibilidad?. Propietario. Colaborador. Lector. Ninguna de las anteriores.

¿Qué es el orden de herencia para el ámbito en Azure?. Grupo de administración, grupo de recursos, suscripción, recurso. Grupo de administración, suscripción, grupo de recursos, recurso. Suscripción, grupo de administración, grupo de recursos, recurso. Ninguna de las anteriores.

¿Con qué regla se escribe el concepto de «big data»?. CIA: confidencialidad, Integridad y autorización. Las 5 V: visión, velocidad, veracidad, valor y variedad. Las 3 V: volumen, velocidad y variedad. Las 3 V: volumen, velocidad y visibilidad.

¿Cuáles de las siguientes opciones son áreas de aplicación de big data?. Energía. Salud. Seguridad. Todas las anteriores son correctas.

¿Cuál de estas afirmaciones, referentes al Big Data, es correcta?. Las bases de datos son de tipo relacional. Se están utilizando más BD NoSQL. El análisis de datos no necesita ser paralelo. No se necesita soporte de tiempo real.

Según el Cloud Security Alliance, ¿cómo se categoriza el cifrado de datos?. En seguridad de datos. En seguridad infraestructura. En control de acceso. En privacidad.

El NIST define una taxonomía conceptual de seguridad de big data, ¿y qué otra cosa?. Una taxonomía operativa de seguridad de big data. Una taxonomía de atributos de seguridad de big data. Una taxonomía procedimental de seguridad de big data. Ninguna de las anteriores.

¿Qué es Knox?. Un Gateway soap. Una herramienta de cifrado. Un Gateway rest. Ninguna de las anteriores.

¿Qué es Sentry?. Una herramienta de control de acceso a recursos. Una herramienta de cifrado. Una herramienta gestión de datos. Un escáner de seguridad de BD.

¿Qué es Apache Ranger?. Una herramienta de control de acceso a recursos. Una herramienta de cifrado. Una herramienta gestión de datos. Un scanner de seguridad de BD.

La implementación big data HDInsight es un producto de: AWS. IBM. ORACLE. MICROSOFT.

Azure HDInsight incluye: Apache Hadoop, Spark, Hive y Kafka. Apache Hadoop, Spark, Hive y AWS. Apache Hadoop, Spark, Hive y Cloudera. Ninguna de las anteriores.

Denunciar Test