PS 03

Debemos de apoyarnos en la lista de OWASP para entender los riesgos que puede sufrir nuestro software.¿Verdadero o Falso?. Verdadero. Falso.

¿Qué tipos de funciones Hash se recomienda usar?: a. md5. b. RSA. c. Diffie-Hellman. d. SHA.

Un WAF nos puede ayudar a detectar y bloquear ataques de botnets. ¿Verdadero o Falso?. Verdadero. Falso.

OWASP ofrece un Top de riesgos para móviles y para web. ¿Verdadero o Falso?. Verdadero. Falso.

Los niveles de aplicación definidos en el ASVS tienen en cuenta el dato manejado y el entorno de la aplicación.¿Verdadero o Falso?. Verdadero. Falso.

¿Qué versión de OAuth es la más utilizada?: a. v2. b. v8. c. v6. d. v3.

¿Qué significa HSTS?: a. High Security Transport Standard. b. High Standard HTTP Security. c. HTTP Strict-Transport-Security. d. High Standard Transport Security.

El objetivo de las pruebas de aceptación es verificar la sincronización entre módulos. ¿Verdadero o falso?. Verdadero. Falso.

¿De qué lado se suele producir los ataques de robo de sesión?: a. Del lado del aplicativo. b. De niguno de los anteriores. c. Del lado del servidor. d. Del lado del cliente.

Los formularios mal configurados son uno de los vectores de entrada de los aplicativos web. ¿Verdadero o Falso?. Verdadero. Falso.

La seguridad del código fuente es lo único que interviene en hacer un aplicativo seguro. ¿Verdadero o falso?. Verdadero. Falso.

Podemos ayudar a la seguridad del software añadiendo contramedidas tanto a nivel de sistemas como de software adicional como CAPTCHAs. ¿Verdadero o Falso?. Verdadero. Falso.

Los WAFs son entorno de cloud. ¿Verdadero o falso?. Verdadero. Falso.

¿Es recomendable almacenar contraseñas y datos personales por parte de las aplicaciones?: a. Depende, lo ideal es que la aplicación guarde unicamente los datos realmente necesarios y en caso de ser datos relevantes los securice de alguna manera. b. No. c. Si, siempre. d. Sí, según el tipo de dato manejado por la aplicación.

El TOP10 de OWASP tiene el objetivo de identificar riesgos. ¿Verdadero o Falso?. Verdadero. Falso.

¿Qué tipo de ataques se considera de tipo Client Side Injection?: a. Session Hijacking. b. Brute Forcing. c. SQl Transversal. d. SQL Inyection.

Un WAF no es mas que un Firewall con más capacidades. ¿Verdadero o falso?. Verdadero. Falso.

¿Qué necesita un WAF cuando lo instalamos?: a. Un administrador de red y otro de seguridad. b. Software especifico. c. Un tiempo para aprender sobre el aplicativo, los datos y usuarios. d. Cambios en el aplicativo.

Para securizar un aplicativo deberemos controlar la entrada de datos en los formualrios. ¿Verdadero o Falso?. Verdadero. Falso.

Cual de las siguientes se considera una fundación sin ánimo de lucro que ayuda en identificar riesgos y adoptar medidas al respecto: a. OWASP. b. OVBA. c. VBSA. d. OSINT.

Que es la autorización: a. Proceso de gestión de los derechos de una base de datos. b. Conjunto de instrucciones que se lleva a cabo durante el login del usuario. c. Proceso de asignación de permisos que sucede después de la autenticación. d. Proceso de logado de un usuario en un sistema.

¿Cuál de los siguientes NO es un elemento clásico de un formulario?: Checkbox. Botón. Reconocimiento facial. Campo de texto.

¿Qué cambio suele ser habitual para configurar un WAF?: Cambiar el código fuente de nuestro aplicativo. Cambiar los CAPTCHAs. Cambiar registros DNS. Avisar al administrador de red.

CSP es una contramedida para evitar ataques como los de inyección de código. ¿Verdadero o Falso?. Verdadero. Falso.

El proceso de autenticación Basic Auth es ideal cuando: Cuando no se va a manejar datos sensibles ó que tengan muchas restricciones de uso. Cuando no trabajamos ni con aplicativos REST o SOAP. Cuando trabajemos en distintas capas de seguridad. Cuando trabajamos con datos que son de carácter personal.

¿Que significa WAF?: Web Application Firewall. Wave App Firewall. Web Avanced Forwarder. Web Advanced Firewall.

¿De qué manera podemos proteger las contraseñas almacenadas?: En la práctica no es viable. De ninguna manera. Almacenandolas en texto claro. Mendiante cifrados y funciones hash.