Repaso Examen Desarrollo Seguro

¿Cuál de las siguiente es una ventaja clave de las aplicaciones web en términos de accesibilidad?. Permiten acceso remoto como un pre-requisito de diseño. Son accesibles solo desde dispositivos móviles. Requieren instalación en cada dispositivo. No son compatibles con lectores automáticos de texto.

El formato preferido para los mensajes de REST APIs es ___ ya que a pesar de su nombre puede leerlo cualquier lenguaje de programación, es ligero y lo comprenden tanto las personas como las maquinas. JSON. CSV. YAML. XML.

Los ataques de ___ implican que un atacante intente obtener el ID de sesión de la víctima después de que el usuario inicie sesión. Fijación de sesión. Borrado de sesión. Secuestro de sesión. Ninguna de las anteriores.

De acuerdo al OWASP API Security Top 10.¿qué tipo de vulnerabilidades permiten a los atacantes acceder a objetos de datos (cuyo acceso debería haberse restringido)?. Unrestricted Resource Consumption. Unrestricted Access to Sensitive Business Flows. Server Side Request Forgery. Broken Object Level Authorization.

¿Qué es la inyección SQL en el contexto de la seguridad de aplicaciones?. Una técnica de optimización de bases de datos. Una vulnerabilidad que permite a un atacante ejecutar comandos SQL maliciosos. Una herramienta para administrar base de datos SQL. un proceso para aumentar la velocidad de las consultas SQL.

¿Cuál de las siguientes es una medida de seguridad eficaz para proteger aplicaciones web contra vulnerabilidades comunes?. Uso de un cortafuegos de aplicaciones web WAF. Uso exclusivo de HTTPS para todas las transacciones. Implementar únicamente autenticación de usuario basado en contraseña. Limitar el acceso a la aplicación web sólo a ciertas horas del día.

¿Cómo se llama el principio de seguridad que indica solo se debe de otorgar los permisos necesarios para que alguien pueda completar la tarea asignada?. Separación de responsabilidades. Economía de mecanismos. Menor privilegio. Defensa a profundidad.

De acuerdo al OWASP API Security Top 10, ¿Qué tipo de vulnerabilidades permiten que los atacantes pueden acceder, modificar, agregar y eliminar valores de propiedad a los objetos?. Ataque DoS y DDoS. Unrestricted Resource Consumption. Broken Object Property Level Authorization. Unrestricted Access to Sensitive Business Flows.

¿Cual de las siguientes debilidades puede resultar en fallas de identificación y autenticación?. Implementación de firewalls. Uso de protocolos de red seguros. Permitir contraseñas por defecto débiles. Cifrado de datos en reposo.

Se trata de un análisis exhaustivo del código fuente que tiene como propósito detectar problemas de sintaxis y posibles vulnerabilidades que podrían impactar el rendimiento y la seguridad del software. Revisión de código. Firmado digital. Ofuscación. Bombas lógicas.

¿Cómo contribuye la virtualización a la seguridad de los sistemas informáticos?. Aumentando la superficie de ataque al agregar más capas de software. Permitiendo la consolidación de recursos físicos y facilitando la gestión de la seguridad. Disminuyendo la seguridad debido a la dependencia de un solo servidor host. Haciendo innecesarios los antivirus y los sistemas de detección de intrusiones.

Como podemos prevenir ataques de tipo Server-Side Request Forguery ( SSRF)?. Deshabilite las redirecciones HTTP. Asegúrese de que las transacciones de alto valor poseen un seguimiento de auditoria. Realice un inventario continuo de las versiones de los componentes. Análisis de código estático.

Las pruebas realizadas deben de intentar hacer que el software falle y cuando falla el software los mensajes de error deben comprobarse para asegurarse de que no revelen ningún detalle que no sea necesario. Verdadero. Falso.

¿Cuál es un reto principal en la seguridad del cloud computing?. La elección de sistemas operativos para servidores. La gestión de múltiples proveedores de servicios en la nube. El manejo de la alta disponibilidad y redundancia de datos. La formación de los empleados en habilidades técnicas.

Un __ actúa como intermediario dirigiendo las llamadas API de los clientes hacia el microservicio adecuado mediante el enrutamiento de solicitudes, la composición y la traducción de protocolos. WAF. SOAP Router. API Gateway. UDDI Server.

De acuerdo al estándar de OWASP MASVS. ¿Qué categoría establece que es deseable alguna forma adicional de autenticación para acciones confidenciales dentro de la aplicación?. MASVS-AUTH (Controles de seguridad de autenticación). MASVS-CODE (Controles de seguridad de Código). MASVS-STORAGE (Controles de seguridad de Almacenamiento). MASVS-PLATFORM (Controles de seguridad de Plataforma).

¿Cuándo creamos redes y servidores virtuales en la nube sin preocuparnos por el aprovisionamiento del hardware ¿de que categoría de servicios estamos hablando?. PaaS. IaaS. SaaS. On-premises.

En el contexto de seguridad de contenedores, ¿Cuál es la importancia de utilizar un registro privado?. Permite la integración con cualquier herramienta de CI/CD sin restricciones de seguridad. Permite el acceso publico a las imágenes de contenedor para facilitar la colaboración. Proporciona control de acceso basado en roles y ayuda a rastrear vulnerabilidades. Evita la necesidad de actualizar las imágenes de contenedor.

Los atacantes prueban sistemáticamente varias combinaciones de claves hasta que encuentran la correcta para descifrar los datos ¿A qué categoría del OWASP Mobile Top 10 corresponde el ejemplo anterior?. Autenticación/Autorización insegura. Protección binaria insuficiente. Almacenamiento de datos inseguro. Criptografía insuficiente.

En el modelo de responsabilidad compartida en la seguridad en la nube,¿Qué es responsabilidad del proveedor de servicios en la nube?. Proteger la infraestructura subyacente como servicios de almacenamiento y redes. Gestionar la seguridad de las aplicaciones instaladas por el cliente. Administrar los sistemas operativos invitados y los datos del cliente. Implementar medidas de seguridad en las aplicaciones del cliente.

¿Qué tipo de análisis de código implica la inspección del mismo sin ejecutar el programa de software que lo contiene?. Análisis de código estático. Análisis de código dinámico. Sanitización. Sandboxing.

Monitorear y registrar el acceso a flujos comerciales confidenciales para detectar y responder a actividades no autorizadas o sospechosas. Realizar pruebas de seguridad periódicas, incluidas pruebas de penetración y revisiones de código, para identificar y abordar las vulnerabilidades relacionadas con el acceso sin restricciones a flujos comerciales confidenciales. ¿Los anteriores son ejemplos de soluciones ante cual de las categorías del OWASP API Security Top 10?. Broken Object Property Level Authorization. Broken Object Property Level Authorization. Broken Function Level Authorization. Unrestricted Access to Sensitive Business Flows.

El estándar de verificación de seguridad de aplicaciones móviles MASVS de OWASP define un modelo de seguridad de aplicaciones móviles y enumera los requisitos de seguridad genéricos para aplicaciones móviles. Falso. Verdadero.

¿Cuál es una practica recomendada para proteger las consolas y herramientas de administración de DevOps en la nube?. Permitir acceso libre para facilitar el desarrollo rápido. Evitar el uso de herramientas de automatización como Puppet, Chef y Ansible. Utilizar la misma contraseña para todas las herramientas de DevOps. Controlar y supervisar estrictamente el acceso a estas herramientas y consolas.

¿Qué estrategia es recomendada para asegurar la integridad de las bibliotecas y dependencias en proyectos de alto riesgo?. Implementar un servicio de proxy para todas las bibliotecas. Usar siempre la versión más reciente de las bibliotecas. Alojar las bibliotecas en un repositorio interno previamente analizado. Restringir el acceso a las bibliotecas a desarrolladores senior.

¿Qué es DevOps?. Un lenguaje de programación especifico para el desarrollo de aplicaciones. Una metodología de pruebas de software. Una herramienta de software para la automatización del despliegue de aplicaciones. Una filosofía que enfatiza la colaboración, la comunicación y la automatización en el desarrollo de software.

No podría haber debilidades de Identification Failures si la aplicación permite contraseñas por defecto, débiles o bien conocidas. Falso. Verdadero.

Obtener un 100% de seguridad es posible. Verdadero. Falso.

Brinda al equipo de desarrollo de software una perspectiva similar a la de un atacante o usuario hostil, ya que el ejercicio de ____ busca identificar los puntos de entrada y salida que podrían ser explotados por un atacante. Análisis post-mortem. Prioridad de las amenazas. Estratega técnica. Modelado de amenazas.

Para realizar un ataque SSRF, un atacante puede cambiar el valor de un parámetro en la aplicación web vulnerable para usar las peticiones predeterminadas desde el servidor vulnerable. Verdadero. Falso.

¿Cómo se conoce a cualquier persona, organización o cosa que pueda materializar una amenaza?. Vulnerabilidad. Ataque. Amenaza. Agente de amenaza.

¿Cuál de los siguientes es un ejemplo de falla criptográfica?. Usar algoritmos de hashing. Establecer limites de acceso a las APIs. Almacenar datos en texto plano. Usar llaves robustas.

La _____________ se logra mediante la implementación de controles de seguridad. Vulnerabilidad. Mitigación. Denegación. Amenaza.

¿Qué técnica de autenticación puede mitigar ataques de reutilización de credenciales conocidas?. Autenticación multi- factor. Autenticación basada en certificados. Autenticación mediante huella digital. Autenticación basada en contraseña.

¿Cuál es una práctica recomendada para la protección de la consola de gestión en la nube?. Permitir el acceso a todos los empleados para promover la transparencia. Implementar control y supervisión estricto del acceso con privilegios. Confiar en la seguridad predeterminada del proveedor sin cambios adicionales. Usar contraseñas simples para facilitar el acceso rápido.

¿Cuál de las siguientes es una practica recomendada para la seguridad en máquinas virtuales?. Permitir el acceso irrestricto a la consola de la maquina virtual. Deshabilitar todas las funciones de seguridad para mejorar el rendimiento. Implementar medidas de seguridad similares a las de los servidores físicos. Evitar el uso de plantillas para desplegar maquinas virtuales.

Las debilidades en la lógica de las aplicaciones no se limitan a fallas en la implementación por parte de los desarrolladores. Estas surgen cuando la aplicación responde de manera inesperada ante desviaciones del comportamiento estándar de una función, ya sea originadas por un usuario convencional o un agente con intenciones maliciosas. Verdadero. Falso.

¿Qué método se utiliza para examinar los requisitos de seguridad en todas las etapas de creación del software, abarcando desde análisis hasta mantenimiento, garantizando su integración en cada fase del proceso de desarrollo?. STRIDE. S-SDLC. Ágiles. DREAD.

¿Qué categoría de riesgos abarca aspectos tecnológicos, como violaciones de seguridad, cortes de energía, interrupción del servicio de internet o daños a la propiedad, dentro del contexto de una empresa?. Riesgo Estratégico. Riesgo financiero. Riesgo operativo. Riesgo técnico.

¿Cuál es una medida efectiva para prevenir fallas de integridad de software y datos?. Restricción completa del acceso a datos. Uso exclusivo de software desarrollado internamente. Uso de firmas digitales para verificar la integridad. Deshabilitar todas las actualizaciones automáticas.

Un juego móvil puede publicar su aplicación y los primeros niveles deforma gratuita. Si a los usuarios les gusta el juego, pagan por el acceso completo. Todos los recursos para los niveles posteriores se envían con la aplicación. Sólo están protegidos por una verificación de licencia donde la licencia se descarga cuando el usuario paga. Un atacante podría aplicar ingeniería inversa a la aplicación e intentar comprender cómo se realiza la verificación del pago. Podría ser fácil localizar la comprobación de licencia y simplemente reemplazarla con una declaración de éxito estática. El atacante puede volver a compilar la aplicación y jugarla gratis o incluso venderla con otro nombre en las tiendas de aplicaciones. ¿A qué categoría del OWASP Mobile Top 10 corresponde el ejemplo anterior?. Almacenamiento de datos inseguro. Autenticación/autorización insegura. Protección binaria insuficiente. Criptografía insuficiente.

El objetivo de MASVS es establecer un bajo nivel de confianza en la seguridad de las aplicaciones móviles al no proporcionar un conjunto de controles que aborden los problemas de seguridad de las aplicaciones móviles más comunes. Verdadero. Falso.

¿Qué es una función hash en el contexto de la encriptación de datos?. Un algoritmo que convierte los datos en un valor de longitud fija. Un procedimiento para comprimir archivos de datos. Un método para crear una copia exacta de los datos. Una técnica para aumentar la velocidad de transmisión de datos.

En el marco de DevSecOps, ¿cuál es el principal beneficio de integrar herramientas de seguridad como Snyk y Checkmarx en el pipeline de integración del desarrollo?. Reducir el costo de las operaciones de infraestructura en la nube. Aumentar la velocidad de despliegue de las aplicaciones. Mejorar la colaboración entre los equipos de desarrollo y operaciones. Detectar y corregir vulnerabilidades de seguridad desde las primeras fases del desarrollo.

Los parámetros de consulta de URL se utilizan a menudo para transmitir argumentos de solicitud a un servidor. Sin embargo, los parámetros de consulta de URL son visibles al menos en los registros del servidor pero a menudo también en el análisis del sitio web y posiblemente en el historial del navegador local ¿A que categoría del OWASP Mobile Top 10 corresponde el ejemplo anterior?. Configuración incorrecta de seguridad. Protección binaria insuficiente. Controles de privacidad inadecuados. Autenticación/autorización insegura.

¿Cuál es una ventaja clave del Análisis de Código Estático, SAST, en comparación con el Análisis de Código Dinámico DAST?. SAST puede detectar errores y vulnerabilidades después de que el software haya sido implementado. SAST es más efectivo en identificar vulnerabilidades en tiempo de ejecución. SAST puede detectar errores y vulnerabilidades en una etapa temprana de desarrollo de software. SAST requiere un entorno de producción para ejecutarse.

Por ejemplo si su servicio de backend dio una respuesta en XML pero el solicitante la necesita en JSON, un API Gateway podría encargarse automáticamente de ello. Falso. Verdadero.

Cualquier aplicación que acepte parámetros como entrada puede ser susceptible a ataques de inyección. Verdadero. Falso.

Seleccione 2 ejemplos de errores de configuración, de acuerdo a la categoría de Security Misconfiguration. Sanitización. Utilice el modelado de amenazas. Aceptar configuraciones predeterminadas que no son seguras. Mensajes de error detallados que contienen información confidencial.

¿Qué es la criptografía asimétrica?. Una toma de cifrado que no requiere claves. Un algoritmo de cifrado basado en la sustitución de caracteres. Un método que utiliza la misma clave para cifrar y descifrar datos. Una técnica de cifrado que usa claves diferentes para cifrar y descifrar dato.

Seleccione 2 retos de seguridad que plantean las aplicaciones en la nube pública. Los datos se transmiten por Internet. Los desarrollos son completamente internos. Los datos residen de forma local. Uso de recursos compartidos.

De acuerdo de OWASP MASVS. ¿Qué categoría establece que la aplicación debe contar con un mecanismo para hacer las actualizaciones de la aplicación?. MASVS-RESILIENCE(Controles de seguridad de Resiliencia). MASVS-AUTH(Controles de seguridad de Autenticación). MASVS-STORAGE (Controles de seguridad de Almacenamiento). MASVS-CODE(Controles de seguridad de Código).

DevOps acelera la entrega del software al tiempo que garantiza que funciona correctamente. Verdadero. Falso.

El código Javascript de cliente se debe ejecutar mediante el uso de un _____,con lo que todo lo malicioso que se intente ejecutar queda aislado y sin acceso a los recursos de interés de la maquina atacada. Cloud Container. Sandbox. Virtual Server. Contenedor.

En la seguridad en la nube ¿Qué práctica es fundamental para proteger las cuentas de administración SaaS?. Permitir acceso irrestricto a las consolas de administración SaaS para promover la eficiencia. Evitar la autenticación multifactorial para simplificar el acceso. Controlar y supervisar estrictamente los privilegios de acceso a la consola de administración SaaS. Utilizar una única contraseña para todas las cuentas administrativas.

¿Cuál de los siguientes elementos es utilizado para la integración de sistemas y la creación de aplicaciones interconectadas?. UI. Buses. Endpoint. API.

¿Cuáles de los siguientes son tipos de ataques de fuerza bruta?. Ataques de búsqueda basados en reglas. Ataques de auditoria. Ataques de diccionario. Ataques de tipo surfing.

Cuando estamos utilizando AJAX entre nombres de dominios, existe un problema de seguridad donde un script obtenido en un origen puede cargar o modificar propiedades del documento desde otro origen no igual al primero. ¿Cómo se denomina a este tipo de problema?. Same Origin Policy. Ajax Duplication. Duplex, Origin Policy. Ninguna de las anteriores.

En el modelo de responsabilidad compartida, ¿Qué aspecto de la seguridad en la nube es responsabilidad del cliente?. La seguridad de la infraestructura de la red del proveedor. La gestión de la seguridad de las aplicaciones y datos en la nube. La seguridad fi sica de los centros de datos. La actualización de los servicios de almacenamiento en la nube.

La metodología ____ emplea la asignación de valores numéricos a diferentes categorías de riesgo para calcular un promedio, lo que permite clasificar la gravedad de la amenaza. STRIDE. CIA. DDoS. DREAD.

¿Cuál es el primer paso en la gestión de un incidente de seguridad informática?. Restauración de los sistemas. Notificación a las autoridades. Identificación del incidente. Recopilación de evidencia.

¿Cómo se conoce al proceso de enviar código a un repositorio de código fuente y registrar los cambios realizados?. Artifact. Commit. Continuous Delivery(CD). Continuous Integration(CI).

Las solicitudes realizadas con AJAX funcionan en segundo plano sin la intervención directa del usuario, lo que implica que el usuario no está al tanto de las operaciones especificas que se llevan a cabo en un sitio web. Esta circunstancia puede ser explotada por la página para llevar a cabo un robo de cookies. Verdadero. Falso.

Los secretos son elementos de datos que se utilizan en la autenticación y la autorización e incluyen contraseñas, claves de cifrado públicas y privadas claves SSH, API, tokens y certificados. verdadero. Falso.

Seleccione 3 estrategias que podamos implementar para evitar amenazas del tipo Software and Data Integrity Failures. Asegurese que se utilice un proceso de revisón de cambios de codigo. Limite o incremente el tiempo de espera entre intentos fallidos de inicio de sesión. Asegúrese que datos sin cifrar o firmar no son enviados a clientes no confiables. Utilice firmas digitales o mecanismos similares para verificar el software o datos.

El riesgo de _______________ se produce porque las organizaciones tienen multitud de API internas y de terceros que se inventarían, documentan y administran incorrectamente. Broken Object Level Authorización. Improper Inventory Management. Security Misconfi guration. Unrestricted Resources Consumption.

Los desarrolladores dejan sus API y recursos vulnerables a ataques si los atacantes pueden manipular a proveedores externos ¿A que categoría del OWASP API Security Top 10 hace referencia el enunciado anterior?. Security Misconfi guration. Unrestricted Resource Consumption. Broken Object Level Authorization. Unsafe Consumption of APIs.

Deshabilite características, servicios o módulos innecesarios que no son necesarios para la funcionalidad de la API. Implementar mecanismos adecuados de manejo de errores y registro para evitar que la información confidencial se exponga en los mensajes de error ¿Los anteriores son ejemplos de soluciones ante cual de las categorías del OWASP API Security Top 10?. Security Misconfiguration. Unrestricted Resource Consumption. Broken Object Level Authorization. Server Side Request Forgery.

En el contexto de la seguridad de aplicaciones web, ¿Qué implica un ataque de "Inyección"?. Envío de comandos no autorizados a través de una aplicación web. Inserción de malware en el servidor de la aplicación web. Interrupción del servicio web mediante solicitudes masivas. Acceso no autorizado a datos mediante la explotación de cookies.

Una validación de salida inadecuada puede provocar daños en los datos o vulnerabilidades en la presentación. Lo que permite a los actores malintencionados inyectar código malintencionado o manipular información confidencial que se muestra a los usuarios. Verdadero. Falso.

Tratar a todos los componentes de un sistema como códigos se conoce como ___________________. Continuous Delivery, CD. DevSecOps. Everything As Code. Infraestructure-as-a-service (IaaS).

¿Cuál es un ejemplo de medida de seguridad física en un centro de datos?. Control de acceso biométrico. Firewalls de red. Cifrado de datos. Detección de intrusos en el software.

¿Cuál es una medida efectiva para proteger las maquinas virtuales?. Evitar el uso de antivirus y sistemas de escaneo. Permitir el acceso irrestricto a la consola de la maquina virtual. Implementar una única política de seguridad para todas las maquinas virtuales. Usar plantillas para implementar maquinas virtuales.

Hay muchas amenazas potenciales que pueden ser causadas por una pobre validación de entrada, seleccione 2 de las más comunes y peligrosas. Cross-site scripting. XSS. Secuestros de sesión. Mensajes de error detallados que contienen información confidencial. Inyección SQL.

El ___ significa que el software se escanea cuando el software se está ejecutando, es decir, en un tiempo de ejecución operativo. Análisis de integridad. Escaneo dinámico. Modelo de datos. Escaneo estático.

¿Qué se busca al clasificar los riesgos en seguridad informática?. Priorizar los controles basándose en la gravedad de la amenaza. Establecer la programación del desarrollo de software. Determinar el presupuesto del proyecto. Seleccionar el personal para el proyecto.

¿Cuál es un riesgo asociado con la seguridad inadecuada de la cadena de suministro en aplicaciones móviles?. Aumento de la compatibilidad entre plataformas. Inserción de malware durante el desarrollo. Reducción en los tiempos de desarrollo. Mejora en la experiencia del usuario.

Un atacante obtiene acceso físico al dispositivo de un usuario y extrae las credenciales almacenadas de la aplicación móvil. El atacante utiliza estas credenciales para obtener acceso no autorizado a la cuenta del usuario. ¿A que categoría del OWASP Mobile Top 10 corresponde el ejemplo anterior?. Uso incorrecto de credenciales. Comunicación insegura. Seguridad inadecuada en la cadena de suministro. Validación de entrada y salida insuficiente.

En lugar de requerir a los clientes solicitar acceso a cada microservicio por separado, un _____________ se convierte en la puerta única de entrada para todas las solicitudes. Este sistema distribuye eficientemente las peticiones hacia los servicios correspondientes, reúne los resultados y los entrega devuelta al solicitante. UDDI Server. API Gateway. WAF. SOAP Router.

Una aplicación REST full debe tener una comunicación cliente-servidor sin estado. Esto significa que el contenido de los clientes no se almacena en el servidor entre las solicitudes, sino que la información sobre el estado de la sesión queda en el cliente. Verdadero. Falso.

¿En cual de las siguientes situaciones una aplicación es vulnerable a amenazas de tipo Security Logging and Monitoring Failures?. Se invocan consultas dinámicas o no parametrizadas sin codificar los parámetros de forma acorde al contexto. Si no conoce las versiones de todos los componentes que utiliza. La aplicación no puede detectar, escalar ni alertar sobre ataques en tiempo real o casi tiempo real. Se requiere separar los datos de los comandos y las consultas.

¿Cuál de las siguientes opciones representa un protocolo estándar inicialmente creado para facilitar la comunicación entre aplicaciones desarrolladas en diversos lenguajes y plataformas diferentes?. REST. UDDI. CORBA. SOAP.

¿Qué tipo de comprobación de seguridad se debería de aplicar en la etapa de Testing de un pipeline de acuerdo a DevSecOps?. Uso de herramientas de linting. Pruebas de penetración. Uso de herramientas de pruebas de aplicaciones estáticas SAST. Uso de herramientas de pruebas dinámicas de seguridad de aplicaciones DAST.

Algunos ejemplos de estas vulnerabilidades incluyen el uso de múltiples versiones de API, la exposición de API de desarrollo, políticas de control de acceso incorrectas, etc.. Unrestricted Resource Consumption. Improper Inventory Management. Broken Object Level Authorization. Security Misconfiguration.

Cualquier componente con una vulnerabilidad conocida se convierte en un eslabón débil que puede afectar la seguridad de toda la aplicación. Verdadero. Falso.

¿Cuál de los siguientes es un manual completo que cubre los procesos, técnicas y herramientas utilizadas durante el análisis de seguridad de aplicaciones móviles, así como un conjunto exhaustivo de casos de prueba para verificar los requisitos enumerados en el estándar de verificación de seguridad de aplicaciones móviles de OWASP (MASVS)?. OWASP MASTG. OWASP Mobile Top 10. PCI DSS. OWASP Top 10.

Un atacante inyecta malware en una aplicación móvil popular durante la fase de desarrollo. Luego el atacante firma la aplicación con un certificado válido y lo distribuye en la tienda de aplicaciones, evitando los controles de seguridad de la tienda de aplicaciones. Los usuarios descargan e instalan la aplicación infectada que roba sus credenciales de inicio de sesión y otros datos confidenciales. ¿A qué categoría del OWASP Mobile Top 10 corresponde el ejemplo anterior?. Validación de entrada y salida. Comunicación insegura. Uso incorrecto de credenciales. Seguridad inadecuada en la cadena de suministro.

¿Cuál es una practica efectiva para mejorar la seguridad en maquinas virtuales?. Permitir el acceso irrestricto a la consola de la maquina virtual. Usar el mismo sistema operativo en todas las maquinas virtuales. Evitar el uso de antivirus y sistemas de detección de intrusiones. Implementar plantillas para desplegar maquinas virtuales.

¿Cuál es el beneficio principal del modelado de amenazas durante la fase de diseño del proyecto?. Ralentiza el proceso de implementación de software. Ninguna de las anteriores. Permite que las fallas de diseño puedan abordarse antes de escribir una sola línea de código. Agilice el proceso de desarrollo de software.

¿Qué estrategia es efectiva para mitigar los riesgos asociados con SSRF?. Implementar listas blancas de URL permitidas. Deshabilitar todas las funcionalidades de solicitud de servidor. Bloquear todas las solicitudes entrantes. Uso exclusivo de protocolos de red interna.

¿Qué es una VPN ,red privada virtual, en el contexto de la seguridad enredes?. Un protocolo para acelerar la transferencia de datos. Un software para monitorizar el tráfico de red. Una tecnología que permite una conexión segura a través de una red pública. Un dispositivo para controlar el acceso a la red.

¿Cuál de los siguientes consiste en una infraestructura informática en la nube que proporciona recursos informáticos, de red y de almacenamiento a través de internet?. Continuos Delivery(CD). Governance. Infraestructure-as-Code (IaC). Infraestructure-as-a-Service(IaaS).

Un ___ es el gestor de tráfico que interactúa con los datos o el servicio backend real y aplica políticas, autenticación y control de acceso general para las llamadas de una API para proteger datos valiosos. UDDI Server. API Gateway. SOAP Router. WAF.

En el contexto de componentes vulnerables y desactualizados, ¿Qué herramienta es recomendada para supervisar continuamente fuentes como CVE y NVD?. Dynamic Application Security Testing (DAST). Static Application Security Testing (SAST). Security Information and Event Management (SIEM). OWASP Dependency Check.

Al utilizar un ___ una aplicación puede acceder a las funciones o datos de otra aplicación o sistema de manera estructurada y segura. UI. Bus. Endpoint. API.

¿Qué es una auditoría de seguridad en el contexto de TI?. La actualización de sistemas operativos y aplicaciones. La implementación de nuevas tecnologías de seguridad. La formación de empleados en prácticas de seguridad. La evaluación sistemática de la efectividad de las medidas de seguridad.

De acuerdo al estándar de OWASP MASVS. ¿Qué categoría establece que la aplicación debe validar y desinfectar todas las entradas que no son de confianza?. MASVS-RESILIENCE(Controles de seguridad de Resiliencia). MASVS-AUTH(Controles de seguridad de Autenticación). MASVS-STORAGE (Controles de seguridad de Almacenamiento). MASVS-CODE(Controles de seguridad de Código).

¿Qué principio de seguridad informática se enfoca en asegurar que la información solo sea accesible para aquellos autorizados a verla?. Confidencialidad. Autenticidad. Disponibilidad. Integridad.

¿Qué implica un plan de respuesta a incidentes en seguridad informática?. La planificación y ejecución de acciones en caso de una brecha de seguridad. La creación de un nuevo software de seguridad. La actualización regular de programas antivirus. La capacitación en el uso de nuevas tecnologías.

¿Qué termino describe el proceso de transformar algo originalmente considerado peligroso en una forma inofensiva para la aplicación o sistema?. Validación de entrada. Refactoring. Sanitización. Recompilación.

¿Qué tipo de comprobación de seguridad se debería de aplicar en la etapa de Deployment de un pipeline de acuerdo a DevSecOps?. Uso de herramientas de pruebas de aplicaciones estáticas (SAST). Pruebas de penetración. Uso de herramientas de linting. Uso de herramientas de pruebas dinámicas de seguridad de aplicaciones(DAST).

Una aplicación móvil se lanza con la configuración predeterminada que tiene habilitadas las configuraciones de seguridad débiles. Esto incluye el uso de protocolos de comunicación inseguros, dejar los nombres de usuarios y contraseñas predeterminados sin cambios y no deshabilitar las características de depuración en las compilaciones de la versión. ¿A qué categoría del OWSASP Mobile Top 10 corresponde el ejemplo anterior?. Autenticación/autorización insegura. Configuración incorrecta de seguridad. Almacenamiento de datos inseguro. Protección binaria insuficiente.

En el contexto de Docker, ¿Qué práctica aumenta la seguridad de los contenedores?. Permitir que los contenedores adquieran nuevos privilegios. Usar siempre versiones antiguas de Docker para la estabilidad. Utilizar registros con certificados válidos o TLS. Evitar la actualización de Docker a versiones recientes.

¿Qué tipo de nube proporciona mayores controles de seguridad?. De comunidad. Hibrida. Privada. Pública.

De acuerdo al estándar de OWASP MASVS, ¿Qué categoría está diseñada para ayudar a los desarrolladores a garantizar que los datos confidenciales almacenados intencionalmente por la aplicación estén protegidos adecuadamente, independientemente de la ubicación de destino?. MASVS-CRYPTO(Controles de seguridad de Criptografía). MASVS-NETWORK (Controles de seguridad de Red). MASVS-STORAGE (Controles de seguridad de Almacenamiento). MASVS-DevOps(Controles de seguridad de DevOps).

¿Cómo se denomina al proceso de verificación que garantiza que los datos que se proporcionan no se interpretan como código, como es el caso delos ataques de inyección y no se disfraza de formas alternativas que omiten los controles de seguridad?. Sanitización. Validación de entrada. Refactoring. Recopilación.

¿Cómo se denomina al proceso de evaluar los controles de seguridad de la información e implementar el proceso y las herramientas correctas en los sistemas de TI para proteger los datos que utiliza y almacena una organización?. Análisis post mortem. Arquitecturas de seguridad. Modelos de amenazas. Prioridad de las amenazas.

¿Quién proporciona un conjunto completo de controles de seguridad que se pueden usar para evaluar la seguridad de las aplicaciones móviles en varias plataformas (por ejemplo, Android, iOS)?. OWASP MASVS. PCI DSS. OWASP Mobile Top 10. OWASP top 10.

¿Cuál de los siguientes NO es un beneficio directo de Everything As Code?. Consistencia. Auditabilidad. Control de versiones. Alto rendimiento.

¿Cuál de los siguientes NO representa un área critica de la superficie de ataque móvil de acuerdo a OWASP MASVS?. MASVS-CRYPTO(Controles de seguridad de Criptografía). MASVS-NETWORK (Controles de seguridad de Red). MASVS-STORAGE (Controles de seguridad de Almacenamiento). MASVS-DevOps(Controles de seguridad de DevOps).

¿Qué formato de texto utilizan las peticiones de SOAP?. XML. YAML. CSV. JSON.

De acuerdo al estándar de OWASP MASVS. ¿Qué control intenta garantizar la integridad de la funcionalidad prevista de la aplicación evitando modificaciones en el código y los recursos originales?. MASVS-RESILIENCE(Controles de seguridad de Resiliencia). MASVS-AUTH(Controles de seguridad de Autenticación). MASVS-STORAGE (Controles de seguridad de Almacenamiento). MASVS-CODE(Controles de seguridad de Código).

En DevSecOps, no se aplican comprobaciones de seguridad especificas en cada fase del pipeline de DevOps. Verdadero. Falso.

¿Cuál es una de las razones fundamentales por las que la seguridad en aplicaciones web es crucial en el mundo actual?. El alto costo de desarrollo de aplicaciones web. La dependencia de las aplicaciones para funciones esenciales como banca en línea y trabajo remoto. La popularidad de las aplicaciones web en redes sociales. Las facilidades de acceso a las aplicaciones web desde dispositivos móviles.

¿Bajo que premisas somos vulnerables a amenazas de tipo Vulnerable and Outdated Components?. Si no analiza en búsquedas de vulnerabilidades de forma regular. Se invocan consultas dinámicas o no parametrizadas sin codificar los parámetros de forma acorde al contexto. Si no conoce las versiones de todos los componentes que utiliza. Los datos proporcionados por el usuario no son validados, filtrados ni sanitizados por la aplicación.

¿Qué tipo de requisitos aseguran la continuidad de las operaciones comerciales sin interrupciones?. Autenticación. Confidencialidad. Disponibilidad. Integridad.

Los desarrolladores a menudo confían en los datos recibidos, especialmente cuando trabajan con proveedores y proveedores externos de renombre e implementan políticas y estándares de seguridad menos estrictos ¿A que categoría del OWASP API Security Top 10 hace referencia el enunciado anterior?. Unrestricted Resource Consumption. Broken Object Level Authorization. Security Misconfi guration. Unsafe Consumption of APIs.

El código back-end que procesa la solicitud no se molesta en verificar que la identidad asociada con una solicitud tiene derecho a ejecutar el servicio. Por lo tanto, los atacantes pueden acceder a funcionalidad administrativa remota utilizando cuentas de usuario Con privilegios bastante bajos. ¿A qué categoría de OWASP Mobile Top 10 corresponde el ejemplo anterior?. Seguridad inadecuada en la que en la cadena de suministro. Validación de entrada y salida. Comunicación insegura. Autenticación/autorización insegura.

De acuerdo al estándar de OWASP MASVS, ¿Qué categoría establece controles que cubren el uso seguro de los mecanismos IPC proporcionados por la plataforma, las configuraciones de WebView para evitar la fuga de datos confidenciales y la exposición a la funcionalidad y visualización segura de datos confidenciales en la interfaz de usuario delas aplicación?. MASVS-AUTH (Controles de seguridad de autenticación). MASVS-PLATFORM (Controles de seguridad de Plataforma). MASVS-STORAGE (Controles de seguridad de Almacenamiento). MASVS-CODE(Controles de seguridad de Código).

¿A qué categoría del estándar de OWASP MASVS corresponde la medida de seguridad conocida como ofuscación de código?. MASVS-RESILIENCE(Controles de seguridad de Resiliencia). MASVS-AUTH(Controles de seguridad de Autenticación). MASVS-STORAGE (Controles de seguridad de Almacenamiento). MASVS-CODE(Controles de seguridad de Código).

Se refiere a medidas como la instalación de barreras en los perímetros de los centros de datos, el uso de cerraduras, la presencia de guardias de seguridad, tarjetas de acceso, sistemas biométricos de control, cámaras de vigilancia y sensores de detección de intrusos. Controles de seguridad en la nube. Controles de seguridad digital. Controles de ciberseguridad. Controles de seguridad física.

¿Qué aspectos evalúa el modelo DREAD En la clasificación de riesgos?. Daño potencial. Reproducibilidad, Explotabilidad, Usuarios Afectados, Descubrimiento. Demanda, Recurso, Economía, Análisis, Datos. Diseño, revisión, ejecución, aprobación, documentación. Duración, Respuesta, Efectividad, Alcance, Durabilidad.

¿Qué categoría del modelo dread evalúa la dificultad y condiciones requeridas para llevar a cabo una amenaza?. Daño potencial. Usuarios afectados. Reproducibilidad. Explotabilidad.

De acuerdo de OWASP MASVS. ¿Qué categoría establece que la aplicación móvil desde realizar conexiones seguras bajo cualquier circunstancia?. MASVS-AUTH (Controles de seguridad de autenticación). MASVS-NETWORK (Controles de seguridad de Red). MASVS-STORAGE (Controles de seguridad de Almacenamiento). MASVS-PLATFORM (Controles de seguridad de Plataforma).

A toda acción implementada para prevenir, detectar, contrarrestar o reducirlos riesgos de seguridad en relación con la propiedad física, información, sistemas informáticos u otros activos se les conoce como ______. Modelo de datos. Modelo de amenazas. Prioridad de las amenazas. Control de seguridad.

¿Cuál de los siguientes es un lenguaje de programación comúnmente utilizado en el desarrollo de aplicaciones móviles?. Python. PHP. Swift. Ruby.

La aplicación móvil y un punto de conexión se conectan correctamente y realizan un protocolo de enlace TLS para establecer un canal seguro. Sin embargo la aplicación móvil no inspecciona el certificado ofrecido por el servidor y la aplicación móvil acepta incondicionalmente cualquier certificado que le ofrezca el servidor ¿A qué categoría del OWASP MobileTop 10 corresponde el ejemplo anterior?. Comunicación insegura. Autenticación/autorización insegura. Seguridad inadecuada en la cadena de suministro. Configuración incorrecta de seguridad.

¿Qué categoría de las OWASP Top 10 de 2021, ahora ocupa el primer lugar desplazando a la categoría de inyección que dominó en ediciones anteriores?. A03:2021 - Injection. A02:2021 - Cryptographic Failures. A04:2021 - Secury Misconfi guration. A01:2021 - Broken Access Control.

¿Cuál es el termino que describe la acción de un agente que provoca intencionalmente que una amenaza se materialice?. Vulnerabilidad. Ataque. Amenaza. Activo.

¿Cuál es el propósito principal de implementar un WAF (Web Application Firewall) en la seguridad de una aplicación web?. Mejorar la interfaz de usuario de la aplicación. Acelerar el rendimiento de la aplicación. Proteger la aplicación contra vulnerabilidades de seguridad conocidas. Facilitar la escalabilidad de la aplicación.

¿Cómo podemos prevenir amenazas de tipo Vulnerable and Outdated Components?. Cifre todos los datos en transito con protocolos seguros como TLS. Aceptar configuraciones predeterminadas que no son seguras. Realice un inventario continuo de las versiones de los componentes. Si no conoce las versiones de todos los componentes que utiliza.

¿Qué herramienta es fundamental para la seguridad en las aplicaciones web?. Lenguajes de programación de alto nivel. Bases de datos no relacionales. Cortafuegos de aplicaciones web, WAF. Herramientas de análisis de código fuente.

¿Cómo se conoce al proceso de aprovisionamiento y administración de infraestructura definida a través de código en un repositorio?. Continuos Delivery(CD). DevSecOps. Infraestructure-as-Code (IaC). Infraestructure-as-a-Service(IaaS).

¿Cuál es un principio clave en la seguridad del desarrollo de software?. La revisión periódica del código por pares. El uso exclusivo de software de código abierto. La programación en un solo lenguaje. La documentación exhaustiva del código.

Las ________ en las API se producen cuando las prácticas recomendadas de seguridad no se siguen correctamente o la seguridad de la pila de API no se refuerza correctamente. Algunos ejemplos de esta vulnerabilidad incluyen los últimos parches no aplicados, la exposición no deseada de registros de depuración, opciones heredadas sin parches, características /servicios innecesarios, implementación incorrecta de la política CORS, verbos HTTP habilitados innecesarios, etc. Security Misconfiguration. Unrestricted Resource Consumption. Broken Object Level Authorization. Server Side Request Forgery.

De acuerdo de OWASP MASVS. ¿Qué control tiene como objetivo dificultar al máximo la realización de análisis dinámicos así como evitar la instrumentación dinámica que podría permitir a un atacante modificar el código en tiempo de ejecución?. MASVS-RESILIENCE(Controles de seguridad de Resiliencia). MASVS-AUTH(Controles de seguridad de Autenticación). MASVS-STORAGE (Controles de seguridad de Almacenamiento). MASVS-CODE(Controles de seguridad de Código).

De las opciones siguientes. ¿Cuál no está considerada como una fase convencional dentro del proceso de desarrollo de software?. Planificación. Análisis post-mortem. Mantenimiento. Diseño.

Las vulnerabilidades de _____________ surgen en las API cuando las autorizaciones de nivel de función fallan. Lo que permite a los atacantes acceder ilegítimamente a funciones y características y realizar acciones restringidas como modificación o eliminación de datos / características, acceso no autorizado, ataques de escalada de privilegios, etcétera. Broken Function Level Authorization. Server Side Request Forgery. Unrestricted Access to Sensitive Business Flows. Unrestricted Resource Consumption.

El objetivo principal del _____ es educar a los involucrados en el desarrollo y mantenimiento de API, por ejemplo; desarrolladores, diseñadores, arquitectos, gerentes u organizaciones. OWASP Docker Top 10. OWASP Mobile Top 10. OWASP API Security Top 10. OWASP Top 10.

¿Qué proyecto de OWASP ofrece diez puntos para planificar e implementar un entorno seguro de contenedores?. OWASP API Security Top 10. OWASP Docker Top 10. OWASP Top 10. OWASP ZAP.

¿Cuál es el propósito principal de implementar WAF (Web Application Firewall) en la seguridad de una aplicación web?. Proteger la aplicación contra vulnerabilidades de seguridad conocidas. Acelerar el rendimiento de la aplicación. Mejorar la interfaz de usuario de la aplicación. Facilitar la escalabilidad de la aplicación.

Cuando instala manualmente sistemas operativos invitados y aplicaciones en una maquina virtual, se introduce el riesgo de una configuración correcta. Mediante el uso de ____ que captura la imagen del sistema operativo base, protegido sin aplicaciones instaladas es posible garantizar que todas las maquinas virtuales se creen con un nivel de línea base conocido de seguridad. Una plantilla. Una aplicación. Un git repo. Un contedor.

¿Qué medida de seguridad es recomendable para los contenedores Docker?. Permitir que los contenedores adquieran nuevos privilegios. Utilizar registros con certificados válidos o TLS. Insertar las claves SSH de API en el código fuente de las aplicaciones. Evitar la actualización de Docker a versiones recientes.

La lógica de negocio debe tener el principio de__________ y encontrarse siempre en el lado del servidor. Aceptabilidad psicológica. Mínima exposición. Economía de mecanismos. Diseño Abierto.

Las __ son preocupaciones de seguridad criticas en el código dado que pueden estar presentes y pasar desapercibida si no se lleva a cabo una revisión exhaustiva del código. Ofuscación. Revisión de código. Firmado digital. Bombas lógicas.

¿Qué ventaja de las aplicaciones Web es también crucial para la seguridad?. Compatibilidad entre diferentes sistemas operativos. Uso de tecnología de vanguardia. Mayor velocidad de desarrollo. Capacidad de integración con otras aplicaciones.

¿Qué medida es crucial para la seguridad al usar Docker?. Evitar la revisión de vulnerabilidades en imágenes de Docker. Permitir el acceso público a todas las imágenes de Docker. Deshabilitar todos los controles de acceso y privilegios. Usar siempre la versión más actualizada de Docker.

¿Cuál de las siguientes es una de las mejores prácticas recomendadas para asegurar la seguridad de una base de datos?. Almacenar las claves de cifrado y los datos sensibles en el mismo lugar para facilitar el acceso. Mantener una única copia de la base de datos para simplificar la gestión de seguridad. Permitir a todos los usuarios acceso a lectura a la base de datos para garantizar la transparencia. Utilizar la última versión del software de gestión de bases de datos y aplicar todos los parches de seguridad.

¿Cuál es un aspecto clave a considerar en el diseño y desarrollo de aplicaciones Web para garantizar su seguridad?. Enfocarse exclusivamente en el diseño responsivo. Uso intensivo de animaciones y gráficos. Priorizar la velocidad de carga sobre otros factores. Implementación de controles de acceso y autenticación robustos.

¿Cuál es el propósito principal de identificar límites de confianza en la identificación de amenazas?. Identificar qué acciones o comportamientos del software son permitidos o no. Mejorar la eficiencia de los procesos de negocio. Facilitar la gestión de proyectos de software. Optimizar el rendimiento del hardware.

Lista blanca de URL o direcciones IP permitidas para restringir los destinos de las solicitudes del lado del servidor. Utilice bibliotecas o funciones de análisis de URL que impongan una validación estricta y solo permitan URL válidas. ¿Los anteriores son ejemplos de soluciones ante cuál de las categorías del OWASP API Security Top 10?. Unrestricted Resources Consumption. Server Side Request Forgery. Broken Object Level Authorization. Unrestricted Access to Sensitive Business Flows.

Una aplicación es vulnerable a ataques de tipo inyección cuando. Cifre todos los datos en tránsito con protocolos seguros como TLS. Los datos proporcionados por el usuario no son validados. Filtrados Ni sanitizados por la aplicación. Almacenar datos en texto plano. Se invocan consultas dinámicas o no parametrizadas sin codificar los parámetros de forma acorde al contexto.

La criptografía NO juega un papel especialmente importante en la seguridad de los datos del usuario, más aún en un entorno móvil, donde los atacantes que tienen acceso físico al dispositivo del usuario es un escenario probable. Falso. Verdadero.

Todas las pruebas automatizadas deben ser evaluadas por expertos en seguridad. Los equipos de desarrollo y seguridad deben colaborar para crear modelos de amenazas. Los requisitos de seguridad deben tener alta prioridad en el backlog del producto ¿Las amenazas son algunas prácticas fundamentales de que metodología?. Infrastructure-as-a-Service (IaaS). Everything As code. DevSecOps. Continous Delivery (CD).

¿Qué estrategia es efectiva para minimizar los riesgos de seguridad en máquinas virtuales?. Evitar el uso de herramientas de gestión automatizadas para configurar máquinas virtuales. Usar una única plantilla de máquina virtual para todos los despliegues. Permitir el acceso irrestricto a la consola de la máquina virtual. Implementar las mismas medidas de seguridad en las máquinas virtuales que en los sistemas físicos.

Seleccione 2 estrategias a utilizar para evitar ser vulnerable a Security Logging and Monitoring Failures. Aceptar configuraciones predeterminadas que no son seguras. Los equipos de DevSecOps deben establecer alertas y monitoreo efectivo. Usar algoritmos de hashing. Limite o incremente el tiempo de espera entre intentos fallidos de inicio de sesión. Asegúrese de que las transacciones de alto valor poseen un seguimiento de auditoría.

¿Qué es un ataque de phishing?. Una técnica para interceptar comunicaciones. Un software malicioso que inutiliza dispositivos. Un ataque que sobrecarga los servidores. Un ataque que busca robar información personal mediante engaños.

¿Cuál es el requisito de seguridad que busca limitar la información mostrada en los mensajes de error al usuario final, evitando revelar detalles internos del sistema?. Requerimiento de manejo de configuraciones. Requerimiento de manejo de errores. Requerimientos de seguimiento. Requerimiento de manejo de sesión.

¿Cuál de las siguientes opciones describe mejor un riesgo asociado con el uso incorrecto de credenciales en aplicaciones móviles?. Reducción de costos de desarrollo. Acceso no autorizado a funcionalidades confidenciales. Aumento de la compatibilidad entre dispositivos. Mejora del rendimiento de la aplicación.

¿Cuál de las siguientes afirmaciones mejor describe la diferencia entre el Análisis Estático de Aplicaciones de Seguridad (SAST) y el Análisis Dinámico de Aplicaciones de Seguridad (DAST)?. AST se realiza después de la implementación del software, mientras que DAST se realiza antes de la implementación. SAST y DAST son técnicas idénticas pero SAST se utiliza en aplicaciones web y DAST en aplicaciones de escritorio. SAST se enfoca en encontrar vulnerabilidades en el código fuente, mientras que DAST se enfoca en las pruebas de penetración de la red. SAST inspecciona el código sin ejecutarlo mientras que DAST inspecciona el código durante su ejecución.

¿Qué es SSL/TLS en el contexto de los protocolos de seguridad?. Un estándar para la gestión de contraseñas. Un algoritmo de cifrado de datos. Un protocolo para la transferencia segura de datos en Internet. Una tecnología para la autenticación biométrica.

¿Cuál es una responsabilidad clave del cliente en el modelo de responsabilidad compartida para la seguridad en la nube?. Actualizar y mantener los servidores físicos del proveedor de la nube. Proteger la infraestructura de red del proveedor de la nube. Gestionar la seguridad de las aplicaciones y datos alojados en la nube. Asegurar la infraestructura fi sica de los centros de datos.

De acuerdo al OWASP API Security Top 10, ¿Qué tipo de vulnerabilidades se producen cuando la API no autentica correctamente a sus usuarios y la aplicación no puede detectar si el usuario es legitimo o no?. Server Side Request Forgery. Unrestricted Resource Consumption. Broken Authentication. Unrestricted Access to Sensitive Business Flows.

¿Qué practica brinda al equipo de desarrollo de software una perspectiva similar a la de un atacante o usuario hostil?. Pruebas de seguridad. Diseño de calidad. Análisis estático de código. Modelado de amenazas.

¿Qué estadística destaca la importancia de la seguridad en aplicaciones web?. Cerca del 60% de las aplicaciones web no utilizan cifrado de datos. Más del 50% de las aplicaciones web usan tecnologías obsoletas. Alrededor del 40% de las aplicaciones web no reciben actualizaciones regulares. Más de las tres cuartas partes de los delitos cibernéticos apuntan a aplicaciones y sus vulnerabilidades.

¿Cómo se denomina al proceso de centrarse en la seguridad de una vez desplegada la aplicación?. Desplazar la seguridad a la izquierda. Promover que las personas sean conscientes de la seguridad. Utilizar herramientas de seguridad automatizadas. Desplazar la seguridad a la derecha.

¿Cuál es un paso clave para asegurar las imágenes de contenedor en DevSecOps?. Permitir el acceso público a todas las imágenes de contenedor. Utilizar imágenes de contenedor de fuentes no verificadas. Administrar acceso y promoción de imágenes mediante un registro privado. Evitar el uso de metadatos para rastrear vulnerabilidades en las imágenes.

Un __ ofrece una ubicación central para almacenar paquetes de distribución y la mayoría expone una API para implementar automáticamente compilaciones en los entornos de su proceso. Ninguna de las anteriores. LocalDB. DLL Storage. Repositorio de artefactos.

Las API de ____________ se caracterizan por su ligereza, siendo idóneas para entornos actuales como el Internet de las cosas, IoT, el desarrollo de aplicaciones móviles y la computación sin servidor. CORBA. REST. SOAP. XML.

La esencia fundamental de la definición del software radica en su capacidad para abordar problemas específicos. Por este motivo, es crucial comprender la naturaleza del problema que se va a resolver antes de su implementación. Falso. Verdadero.

Los sistemas operativos móviles modernos son posiblemente más seguros que los sistemas operativos de escritorio tradicionales, pero aun pueden aparecer problemas cuando no consideramos cuidadosamente la seguridad durante el desarrollo de aplicaciones móviles. Verdadero. Falso.

En la seguridad en la nube, ¿Cómo se deben proteger las claves SSH de API?. Usar una única clave SSH para todos los servicios en la nube. Usar una única clave SSH para todos los servicios en la nube. Eliminarlas del código fuente y asegurar que solo aplicaciones autorizadas tengan acceso. Almacenarlas en repositorios públicos para un acceso fácil.

Sin las limitaciones adecuadas, los atacantes pueden saturar las API enviando varias solicitudes. Esto conduce a la degradación de los servicios, ataques DoS/DDoS, problemas de latencia de rendimiento, bloqueos, etc. ¿A que categoría del OWASP API Security Top 10 hace referencia el enunciado anterior?. Broken Authentication. Broken Object Property Level Authorization. Unrestricted Access to Sensitive Business Flows. Unrestricted Resource Consumption.

___ es una prueba de seguridad de aplicaciones web que detecta problemas de seguridad en la aplicación en ejecución al ver como responde la aplicación a solicitudes diseñadas especialmente. SAST. Linting. DAST. IaC.

¿Qué papel juegan los cortafuegos de aplicaciones web (WAF) en la seguridad de las aplicaciones web?. Permiten una mejor interfaz de usuario. Facilitan el desarrollo de aplicaciones más rápidas. Defienden contra ataques mediante la vigilancia y el filtrado del tráfico. Optimizan el rendimiento de la aplicación.

La aplicación móvil almacena en caché datos confidenciales, como tokens de autenticación de usuario o información de sesión, sin implementar las medidas de seguridad adecuadas. Si un atacante obtiene acceso a la memoria cache del dispositivo, puede obtener estas credenciales y hacerse pasar por el usuario ¿A que categoría del OWASP Mobile Top 10 corresponde el ejemplo anterior?. Almacenamiento de datos inseguro. Protección binaria insuficiente. Criptografía insuficiente. Autenticación/autorización insegura.

De acuerdo al estándar del OWASP MASVS. ¿Qué categoría establece que es deseable alguna forma adicional de autentificación para acciones confidenciales dentro de la aplicación?. MASVS-AUTH. Controles de seguridad de autorizaciones. MASVS-PLATFORM. Controles de seguridad de plataforma. MASVS-CODE. Controles de seguridad de código. MASVS-STORAGE. Controles de seguridad de almacenamiento.

Implementar controles de acceso granulares y detallados basados en la autorización de nivel de función. Validar y aplicar comprobaciones de autorización para cada función o acción dentro de la API. ¿Los anteriores son ejemplos de soluciones ante cuál de las categorías del OWASP API Security Top 10?. Broken Function Level Authorization. Unrestricted Resources Consumptio. Unrestricted Access to Sensitive Business Flows. Server Side Request Forgery.

¿Qué consecuencia puede tener el uso de bibliotecas de software de terceros con vulnerabilidades conocidas en la cadena de suministro de una aplicación móvil?. Reduccion de costos de desarrollo. Mejora en la interoperabilidad de la aplicación. Aumento de la eficiencia operativa. Acceso no autorizado a la aplicación o servidores back-end.

Siempre utilice la última versión de su software de gestión de bases de datos y aplique todos los parches tan pronto como se publiquen. El anterior es un ejemplo de mejor práctica de seguridad de base de datos, ¿dé qué categoría?. Seguridad del software de base de datos. Seguridad de la aplicación web. Seguridad de respaldos. Ninguna de las anteriores.

¿Qué método de análisis de código necesita un entorno simulado que reproduzca las condiciones del entorno de producción donde se desplegará el código?. Sanitización. Sandboxing. Análisis de código estático. Análisis de código dinámico.

Un diseño inseguro no puede ser solucionado únicamente con una implementación perfecta, ya que, por su naturaleza carece de los controles de seguridad necesarios para protegerse de ataques específicos. Verdadero. Falso.

¿Qué estrategia es esencial para garantizar la seguridad de las maquinas virtuales?. Permitir un acceso irrestricto a la consola de maquina virtual. Usar una misma configuración de seguridad para todas las maquinas virtuales. Evitar el uso de antivirus y cortafuegos en maquinas virtuales. Implementar todos los controles de seguridad como en un entorno físico.

¿De acuerdo al estándar de OWASP MASVS, ¿Qué control garantiza que cualquier dato sensible debe de estar almacenado en ubicaciones privadas?. MASVS-RESILIENCE(Controles de seguridad de Resiliencia). MASVS-AUTH(Controles de seguridad de Autenticación). MASVS-STORAGE (Controles de seguridad de Almacenamiento). MASVS-CODE(Controles de seguridad de Código).

Las vulnerabilidades de SSRF surgen cuando una aplicación web accede a recursos remotos sin validar previamente la URL proporcionada por el usuario. Falso. Verdadero.

Los beneficios de realizar análisis de código estático son que los errores y las vulnerabilidades pueden detectarse de forma tardía y abordarse después de la implementación del software. Verdadero. Falso.

¿Cuál es una practica recomendada para asegurar las imágenes de contenedor en DevSecOps?. Permitir el acceso anonimo a todas las imagenes de contenedor para facilitar lacolaboración. Restringir el acceso a las imágenes de contenedor solo al equipo de desarrollo. Implementar un registro privado con asignaciones basadas en roles y metadatos para rastrear vulnerabilidades. Usar imágenes de contenedor de fuentes publicas sin verificar.

¿Cuál de las siguientes consideraciones debe de ser tomada en cuenta para evitar riesgos de tipo Insecure Design (diseño inseguro) de acuerdo a la publicación de OWASP top 10?. Implemente validaciones de entradas de datos en el servidor utilizando "listas blancas". Se invocan consultas dinámicas o no parametrizadas sin codificar los parámetros de forma acorde al contexto. Establezca y use un ciclo de desarrollo seguro. Se requiere separar los datos de los comandos y las consultas.

¿Qué criterio del modelo DREAD considera la exposición de una amenaza a la detección por parte de investigadores externos o atacantes?. Reproducibilidad. Usuarios afectados. Descubrimiento. Daño potencial.

¿Qué tipo de comprobación de seguridad se debería de aplicar en la etapa de Codificación de acuerdo a DevSecOps?. Uso de herramientas de pruebas de aplicaciones estáticas (SAST). Pruebas de penetración. Uso de herramientas de linting. Uso de herramientas de pruebas dinámicas de seguridad de aplicaciones(DAST).

Cuando el software que funcionó sin problemas en el entorno de desarrollo o prueba, y ya no funciona como se esperaba en el entorno de producción, es indicativo de un problema de gestión de la configuración con los entornos. Verdadero. Falso.

Implementar la validación y el filtrado de URL para bloquear o desinfectar URL potencialmente maliciosas. Monitorear y registrar solicitudes del lado del servidor para detectar e investigar cualquier actividad sospechosa o no autorizada ¿Los anteriores son ejemplos de soluciones ante cuál de las categorías del OWASP. API Security Top 10?. Broken Object Level Authorizacion. Unrestricted Access to Sensitive Business Flows. Unrestricted Resources Consumption. Server Side Request Forgery.

¿Cómo prevenir amenazas de tipo Insecure Design?. Sanitización. Se requiere separar los datos de los comandos y las consultas. Utilice el modelo de amenazas. Validación de entrada.

¿Qué representa "A01:2021 - Broken Access Control" en el contexto de la seguridad de aplicaciones web?. Un tipo de vulnerabilidad relacionada con el control de acceso. Una práctica recomendada en el desarrollo de aplicaciones. Una herramienta para el monitoreo del rendimiento de la aplicación. Una técnica de encriptación segura.

Cuales de las siguientes son estrategias validas para prevenir amenazas de tipo Inyección? Seleccione 2. Usar algoritmos de hashing. implemente validaciones de entradas de datos en el servidor utilizando "listas blancas". Se requiere separar los datos de los comandos y las consultas. Almacenar datos en texto plano.

¿Cuáles de las siguientes son estrategias validas para prevenir amenazas de tipo Broken Access Control? Seleccione 3. Establecer limites de acceso a las APIs. Denegar accesos por defecto. Control de acceso a nivel de datos. Validación de entrada.

Al emplear contenedores, la implementación de un ______________posibilita la gestión del acceso mediante asignaciones de roles, al tiempo que facilita la administración del contenido mediante la asignación de metadatos específicos al contenedor. Git Repo. Registro privado. Registro público. Ninguna de las anteriores.

¿Qué control garantiza que estos datos no terminen filtrándose involuntariamente debido a mecanismos como capturas de pantalla generadas automáticamente o divulgadas accidentalmente. MASVS-AUTH (Controles de seguridad de autenticación). MASVS-PLATFORM (Controles de seguridad de Plataforma). MASVS-STORAGE (Controles de seguridad de Almacenamiento). MASVS-CODE(Controles de seguridad de Código).

¿En el contexto del uso incorrecto de credenciales, ¿Qué representa un mayor riesgo de seguridad?. Credenciales codificadas en el código fuente. Uso de herramientas de autenticación de terceros. Actualizaciones regulares de la aplicación. Cifrado fuerte de las credenciales.

Demasiadas peticiones dirigidas a una API pueden relentizar o detener el servicio para otros clientes. Errores de autorización. Ataques basados en la autenticación. Ataque DoS y DDoS. Aprovechamiento de vulnerabilidades.

En el contexto del modelado de amenazas para el desarrollo de software seguro. ¿Cuál de las siguientes actividades es crucial para identificar amenazas potenciales y aplicables?. Capacitar a los usuarios finales en prácticas de seguridad informática. Documentar y seguir las políticas de seguridad de la organización. Realizar pruebas de penetración en el software después de su implementación. Identificar límites de confianza y puntos de entrada y salida en el software.

¿Qué tipo de comprobación de seguridad se debería de aplicar en la etapa de Building de un pipeline de acuerdo a DevSecOps?. Uso de herramientas de pruebas de aplicaciones estáticas (SAST). Pruebas de penetración. Uso de herramientas de linting. Uso de herramientas de pruebas dinámicas de seguridad de aplicaciones(DAST).

El ___ es un software malicioso que inutiliza el dispositivo y encripta la información. El usuario pierde el control sobre los datos y el hacker le exige el pago de un rescate para desbloquear el acceso. Whaiting. Malware. Ransomware. Phishing.

Se sugiere como una practica optima dirigir los errores y excepciones hacia una ubicación designada para su manejo, mostrando los detalles delos mensajes correspondientes según el contexto del inicio de sesión del usuario, ya sea remoto o local. Verdadero. Falso.

¿Cuál de las siguientes opciones representa una practica efectiva para manejar componentes vulnerables y desactualizados en aplicaciones web?. Realizar un inventario regular de componentes y sus dependencias. Utilizar exclusivamente software propietario. Limitar el acceso a la aplicación web a usuarios confiables. Evitar el uso de bibliotecas y frameworks de código abierto.

Se pueden establecer reglas ___ para bloquear patrones de solicitud y respuesta hacia las APIs que apunten hacia posibles vulnerabilidades. JSON. WAF. UDDI. SOAP.

Sí __________ no se gestiona con cuidado un cliente de la API podría tener acceso a datos que no deberían estar a su disposición, lo que aumenta la posibilidad de que se produzca una fuga de datos. El logging. La autenticación. El monitoreo. La autorización.

Incluyen cualquier elemento diseñado específicamente para evitar ataques a los datos, incluidos la mitigación de DDoS y sistemas de prevención de intrusiones. Controles de ciberseguridad. Controles de seguridad digital. Controles de seguridad física. Controles de seguridad en la nube.

¿Cuál es una limitación importante al desarrollar para plataformas móviles en comparación con las computadoras de escritorio?. Menos restricciones de seguridad. Menor capacidad de procesamiento y memoria. Mayor capacidad de almacenamiento. Mejor conectividad de red.

En términos generales, con los servicios basados en la nube el ___ de esta es el responsable de proteger la infraestructura subyacente, mientras que el ___ es el responsable de proteger las aplicaciones y los datos en la nube. programa. cliente. proveedor. estándar.

De acuerdo al estándar de OWASP MASVS. ¿Qué control intenta validar que el sistema operativo no se ha visto comprometido y por lo tanto, se puede confiar en sus características de seguridad?. MASVS-AUTH, controles de seguridad de autenticación. MASVS- STORAGE. Controles de seguridad de almacenamiento. MASVS-RESILENCE. Controles de seguridad de resiliencia. MASVS-CODE. controles de seguridad de código.