prueba

¿Qué conduce a qué vulnerabilidad SSRF?. Uso de políticas de denegación por defecto. Uso de controles de acceso efectivos. Implementación de autenticación robusta. Falta de validación en la URL proporcionada por el usuario.

¿Qué acción tomaría un atacante para realizar un ataque de SSRF?. Manipular las credenciales de autenticación. Manipular las URLs controladas por el usuario. Cambiar las respuestas en el servidor. Utilizar tokens OAuth para acceder a los recursos.

Después de un evento inesperado que detuvo el sistema por una cantidad considerable de tiempo, piden elaborar un documento donde se aborden ciertas métricas que midan el impacto del desastre en la continuidad del negocio. ¿Cuál de las siguientes opciones es el tiempo ofertado que, de no cumplirlo, puede haber sanciones por alguna de las partes?. RCO. RTO. RPO. SLA. RTA. MTD.

Los parámetros de consulta de URL se utilizan a menudo para transmitir argumentos de solicitud a un servidor; sin embargo, son visibles al menos en los registros del servidor, y a menudo también en el análisis del sitio web y posiblemente en el historial del navegador local. ¿Qué amenaza se describe en el ejemplo anterior?. Autenticación/Autorización insegura. Protecciones binarias insucientes. Comunicación insegura. Uso inadecuado de credenciales. Controles de privacidad inadecuados. Validación de entrada/salida insuciente.

Si los limitadores adecuados no existen, pueden sufrir las APIs ataques bajo múltiples formas, como consumo excesivo, bloqueos, etc. ¿A qué categoría de amenaza hace referencia el enunciado anterior?. Conguración incorrecta de seguridad. Acceso sin restricciones a ujos comerciales sensibles. Gestión inadecuada del inventario. Falsicación de solicitudes del lado del servidor. Consumo de recursos sin restricciones. Autorización de nivel de propiedad de objeto roto.

Implementar límites sobre los recursos, implementar cuotas. Monitorear y analizar el uso de los recursos. ¿Los anteriores son ejemplos de soluciones ante cuál tipo de amenaza?. Consumo de recursos sin restricciones. Autorización de nivel de propiedad de objeto roto. Conguración incorrecta de seguridad. Gestión inadecuada del inventario. Acceso sin restricciones a ujos comerciales sensibles. Falsicación de solicitudes del lado del servidor.

¿Qué tipo de vulnerabilidades permiten al atacante acceder a objetos de datos que deberían haberse restringido?. Consumo de recursos sin restricciones. Falsicación de solicitudes del lado del servidor. Autorización de nivel de objeto roto. Acceso sin restricciones a ujos comerciales sensibles. Gestión inadecuada del inventario. Conguración incorrecta de seguridad.

Un modelo de IA de reconocimiento facial está siendo utilizado para acceder a un sistema de seguridad. Un atacante decide realizar un ataque mediante la modificación sutil de las imágenes de los usuarios autorizados para que el sistema no los reconozca correctamente. ¿Qué tipo de ataque está llevando a cabo el atacante?. Robo de datos. Ataque adversarial. Envenenamiento de datos. Ataque de inyección SQL.

Un atacante logra obtener acceso a un servicio API sin necesidad de autenticación. ¿Qué vulnerabilidad se está explotando?. Acceso no autorizado a flujos sensibles. Autenticación rota. Consumo de recursos sin restricción. Autorización de función rota.

Una aplicación web con Java está corriendo en un servidor Tomcat; la aplicación no ha personalizado las pantallas de error predeterminadas ni gestiona los errores de manera correcta. De acuerdo a esto, ¿qué principio de seguridad se está incumpliendo?. Fallo seguro. Separación de responsabilidades. Menor privilegio. Economía de mecanismos. Defensa en profundidad. Diseño abierto.

Según OWASP, ¿cómo afecta la transparencia en IA la confianza de los usuarios?. Aumenta la conanza en la seguridad del sistema. Reduce el sesgo. Permite mantener el almacenamiento seguro. Disminuye la cantidad de datos recolectados.

¿Qué ocurre en un ataque de búsqueda basado en reglas?. Se aplican reglas para generar variaciones. Se corrompen datos existentes. Se prueban combinaciones de caracteres. Se reutilizan IDs de sesión.

Para prevenir amenazas del tipo configuración incorrecta de seguridad, durante el fase de pruebas, los testers deben buscar que el software falle y validar los mensajes de error para asegurarse de que no revelen ningún detalle que no sea necesario. Verdadero. Falso.

Monitorear y registrar el acceso a flujos comerciales confidenciales. Realizar pruebas de seguridad periódicas, incluidas pruebas de penetración y revisiones de código, para identificar y abordar las vulnerabilidades relacionadas con el acceso sin restricciones a flujos comerciales confidenciales. ¿Los anteriores son ejemplos de soluciones ante cuál tipo de amenazas?. Conguración incorrecta de seguridad. Acceso sin restricciones a flujos comerciales sensibles. Autorización de nivel de propiedad de objeto rota. Autorización de nivel de función rota. Gestión inadecuada del inventario. Falsicación de solicitudes del lado del servidor.

Una aplicación móvil expone información personal del usuario debido a controles de privacidad débiles. ¿Qué vulnerabilidad se está explotando?. Autenticación/autorización insegura. Cifrografía insuciente. Comunicación insegura. Controles de privacidad inadecuados.

Considera lo siguiente: En una arquitectura de potencialmente N capas, los servidores están configurados con mecanismos de seguridad para solamente aceptar solicitudes que vengan de la capa previa. De tal forma que, por ejemplo, la capa de la base de datos solamente acepta solicitudes de la capa del backend, pero no de manera directa ni de la capa del frontend. Al tener este tipo de configuración, se decide que las capas más profundas no validen de forma meticulosa las solicitudes que llegan a ellas. Con base en lo anterior, esta configuración puede potencialmente causar una amenaza del tipo falsificación de solicitudes del lado del servidor. Verdadero. Falso.

En una aplicación móvil, los datos sensibles son almacenados en un directorio público accesible por otras aplicaciones. ¿Qué vulnerabilidad está presente?. Protección binaria. Almacenamiento inseguro de datos. Comunicación insegura. Autenticación insegura.

Una empresa tiene una aplicación para evaluar la calidad de datos por los empleados móviles, implementando tanto el procesamiento a ambiente remoto. ¿Qué tecnología se necesita?. Procesamiento en el dispositivo. Procesos de apps híbridas. Conexión con servidores en la nube. Uso de grácos avanzados.

¿Qué elemento es clave para minimizar sesgos en modelos de decisión en aprendizaje automático?. Usar frameworks especícos. Entrenar el modelo con datos balanceados. Tener acceso a los registros detallados. Probar el modelo con datos sensibles.

En un pipeline de DevSecOps, ¿qué herramientas son utilizadas en la fase de construcción para evitar fallas en el código antes de su implementación?. Consolas de administración SaaS. Herramientas de prueba dinámica de aplicaciones (DAST). Herramientas de prueba estática de aplicaciones (SAST). Plataformas de análisis de vulnerabilidades.

¿Qué debe hacerse con las claves de cifrado?. No aplicar las mejores prácticas de manejo. Manejar las claves de acuerdo con las directrices de mejores prácticas. Usarlas indenidamente. Compartirlas con todos los usuarios.

Considerando que en tu organización desempeñas un cierto puesto, con base en dicho puesto se te otorgan permisos para desempeñar las actividades, pero tienes prohibido gozar de tales permisos en cualquier otra acción. ¿Qué tipo de principio de seguridad se está siguiendo en la organización?. Diseño abierto. Defensa a profundidad. Mecanismo menos común. Menor privilegio. Separación de responsabilidades. Economía de mecanismos.

Con el fin de lograr prevenir la amenaza del tipo Denial-of-Service, debemos aplicar ciertas modificaciones en el código para reforzar la validación de entrada y rechazar las consultas a la BD usando consultas parametrizadas ya desinfectadas. Esto logrará impedir que se materialice la amenaza. Verdadero. Falso.

Un equipo de DevOps necesita identificar vulnerabilidades asociadas con la autenticación de usuarios y la inyección SQL en su aplicación. ¿Qué herramientas debería usar en el pipeline?. Herramientas de prueba dinámica de aplicaciones (DAST). Plataformas de administración de artefactos. Consolas de gestión de la nube. Herramientas de prueba estática de aplicaciones (SAST).

¿Qué tipo de vulnerabilidades se explotan en un ataque a una API?. Vulnerabilidades solo en los servidores web. Vulnerabilidades conocidas como "fallos de seguridad". Aprovechamientos de vulnerabilidades, como inyecciones SQL y desconguración de la seguridad. Ataques de fuerza bruta únicamente.

¿Qué es el análisis de código estático?. Inspección del código sin ejecutarlo. Eliminación de errores de compilación. Inspección del código mientras se ejecuta. Ejecución del código en un entorno controlado.

¿Qué protocolo se recomienda para proteger datos en tránsito?. HTTP. FTP. SMTP. TLS.

¿Qué principio guía permite la determinación del riesgo en una operación?. Probar solo en entornos controlados. Resolver únicamente riesgos económicos. Ignorar vulnerabilidades menores. Riesgo = Probabilidad de ocurrencia * Impacto.

Un sistema preexistente utiliza transmisiones entre una aplicación global y un usuario. ¿Qué problema de seguridad se crea?. Comunicación insegura. Protección binaria insuciente. Autenticación insegura. Conguración incorrecta de seguridad.

Un proveedor de nube ha implementado medidas de seguridad en la infraestructura. ¿Qué debe hacer el cliente para asegurar sus datos?. Descartar las aplicaciones no críticas. Dejar la protección de datos en manos del proveedor. Solo asegurar los servicios de almacenamiento. Proteger las aplicaciones y los datos en la nube.

¿Cómo se protege una lista de integridad de clave?. Almacenando direcciones en registros cifrados. No usar herramientas de análisis. Usando datos sin cifra. Protegiendo cambios no revelados.