SAB - T2

(U) ¿Cuáles son los objetivos de seguridad de los sistemas TIC?. No repudio, funcionamiento correcto, trazabilidad, confidencialidad, disponibilidad e integridad. No repudio, trazabilidad, autenticación, autorización y control de acceso, confidencialidad, disponibilidad e integridad. No repudio, autenticación, autorización y control de acceso, confidencialidad, disponibilidad e integridad. A y B son correctas.

(U) ¿Cuál de los siguientes corresponde a un modelo de desarrollo de software seguro?. SDL. CLASP. TOUCHPOINTS. Todos las anteriores son ciertas.

(U) ¿En qué fase se le debe realizar un test de penetración a una aplicación web?. Diseño. Desarrollo. Pruebas. Producción.

(U) ¿De qué depende la derivación de requisitos de seguridad?. El modelado de amenazas o casos de abuso. Del análisis de riesgos. Análisis de seguridad del código fuente. La A y la B.

(U) Antes del test de penetración, ¿qué actividades de seguridad hay que llevar a cabo?. Derivación de requisitos de seguridad. Modelado de amenazas. Análisis de seguridad del código fuente. Todas las anteriores son ciertas.

(U) ¿Cuál es el pilar de la seguridad que debe adoptarse para implementar la seguridad de una aplicación web desde el principio del desarrollo?. SSDLC. SGSI. SQLI. OWASP.

(U) ¿Qué método HTTP permite conectarse a un servicio situado detrás de un proxy?. PUT. GET. POST. CONNECT.

(U) ¿Qué método HTTP permite obtener solo las cabeceras de la aplicación web?. PUT. HEAD. POST. GET.

(U) ¿Qué método HTTP envía los parámetros en la URL?. GET. POST. PUT. Todas las anteriores.

(U) ¿Qué puede suponer la vulnerabilidad de HTTP response splitting?. La B y la D son correctas. La inyección de código JAVASCRIPT. La inyección de código SQL. La inyección de código HTML.

Según los apuntes, ¿cuál es el pilar fundamental sobre el que debe basarse la seguridad de la información de cualquier organización?. La instalación de cortafuegos de última generación. La definición de la política de seguridad. La contratación de hackers éticos externos. El uso exclusivo de software propietario.

En el contexto del SSDLC, ¿qué permite el modelado de amenazas o derivación de casos de abuso?. Derivar los requisitos de seguridad necesarios. Eliminar la necesidad de pruebas de penetración. Calcular el presupuesto exacto del proyecto. Seleccionar el lenguaje de programación final.

¿Qué actividad, según Gary McGraw, se considera la más eficaz e importante (touchpoint) en el ciclo de vida de desarrollo seguro?. Revisión de código (Code Review). Pruebas de penetración (Penetration Testing). Análisis de riesgos arquitectónicos. Operaciones de seguridad en despliegue.

Si se introducen nuevos componentes de software o hardware en el sistema durante el ciclo de vida, ¿qué es obligatorio hacer según el SSDLC?. Rehacer el análisis de riesgos y revisar el código. Solo reiniciar los servidores de aplicaciones. Ignorarlo si el componente es de un proveedor confiable. Actualizar únicamente la documentación del usuario final.

¿Qué característica fundamental diferencia al modelo web de los modelos distribuidos tradicionales (RPC, CORBA)?. Utiliza un acoplamiento mucho más fuerte entre nodos. No permite el intercambio de datos tipo MIME. Se acopla más débilmente que los modelos tradicionales. Requiere siempre una conexión persistente y síncrona.

En una arquitectura clásica de tres capas, ¿dónde reside normalmente la lógica de negocio?. En la capa de cliente (navegador web). En la capa de aplicación (servidor de aplicaciones). En la capa de persistencia (base de datos). En el servidor web que aloja contenido estático.

¿Cuál es el objetivo principal de introducir un motor AJAX en las aplicaciones RIA?. Cifrar todas las comunicaciones con el servidor. Eliminar la interacción start-stop-start-stop. Bloquear el uso de JavaScript en el cliente. Sustituir completamente al protocolo HTTP.

En el patrón MVC para J2EE, ¿qué componente actúa habitualmente como Controlador?. Un Servlet que selecciona la lógica de negocio. Un JavaBean que accede a la base de datos. Una página JSP que muestra el resultado. El navegador web del usuario final.

Desde el punto de vista de la seguridad, ¿dónde es más conveniente implementar la lógica de autorización (control de acceso a recursos)?. En el código JavaScript del lado del cliente. En el sistema gestor de bases de datos (procedimientos). Exclusivamente en las vistas (páginas JSP/HTML). En las cabeceras HTTP de las peticiones GET.

¿Qué vulnerabilidad está directamente asociada con el método HTTP TRACE?. Cross Site Request Forgery (CSRF). Cross Site Tracing (XST). SQL Injection (SQLi). Buffer Overflow en el servidor.

¿Por qué el método GET no debería usarse para transmitir información sensible?. Porque los parámetros van en la URL y quedan en el historial. Porque el cuerpo del mensaje GET está cifrado por defecto. Porque GET no soporta el protocolo HTTPS en ninguna versión. Porque el servidor rechaza automáticamente peticiones GET largas.

¿Cuál es la función del método HTTP OPTIONS?. Subir un archivo al servidor de forma eficiente. Borrar un recurso específico del servidor. Devolver los métodos HTTP soportados por el servidor. Establecer un túnel SSL con un proxy.

El ataque "HTTP Response Splitting" se basa en la inyección de: Código JavaScript en el cuerpo del mensaje. Comandos SQL en los campos de formulario.Comandos SQL en los campos de formulario. Caracteres de retorno de carro y nueva línea (\r\n). Archivos binarios ejecutables en el servidor.

¿Qué es un ataque CSRF (Cross Site Request Forgery)?. El robo de cookies mediante un script en el navegador. Forzar al usuario a ejecutar acciones no deseadas en una web donde está autenticado. La intercepción de tráfico HTTP en una red pública. El descifrado de contraseñas mediante fuerza bruta.

Para prevenir el CSRF, una medida efectiva mencionada en los apuntes es: Usar siempre el método GET para formularios. Incluir un token o campo oculto validable en el formulario. Deshabilitar las cookies en el navegador del usuario. Usar HTTPS únicamente en la página de login.

¿Por qué es necesario el uso de identificadores de sesión en las aplicaciones web?. Porque el protocolo HTTP es, por definición, sin estado. Para aumentar la velocidad de transferencia de datos. Porque el servidor web no puede procesar peticiones anónimas. Para cumplir con la normativa LOPD obligatoriamente.

Según los apuntes, ¿cuál es el tamaño aproximado del espacio para cookies en el navegador?. 1024 bytes. 2048 bytes. 4096 bytes. Ilimitado.

En el modelo SSDLC de McGraw, ¿qué actividad se realiza después de la revisión de código pero antes del test de penetración?. Análisis de riesgos arquitectónicos. Pruebas de seguridad basadas en riesgo. Definición de casos de abuso. Operaciones de seguridad.

¿Qué desventaja de seguridad presenta el uso de arquitecturas basadas en AJAX/JS en el lado del cliente?. El código de validación es visible y manipulable por el usuario. No permite el uso de conexiones seguras HTTPS. Aumenta la carga del servidor de base de datos. Impide el uso de cookies de sesión.

En la arquitectura MVC, ¿de qué se encarga la capa "Modelo"?. De generar la interfaz gráfica para el usuario. De recibir las peticiones HTTP y redirigirlas. De los datos de la aplicación y el acceso a los mismos. De la gestión de sesiones y cookies del navegador.

¿Qué método HTTP se considera el más eficiente para subir archivos, aunque a veces no esté habilitado en hostings compartidos?. POST. PUT. UPLOAD. INSERT.

¿Qué ocurre si la aplicación web devuelve dos respuestas HTTP debido a una inyección CRLF (Response Splitting)?. El servidor se apaga automáticamente por seguridad. El navegador ignora ambas respuestas por error de sintaxis. Se pueden lanzar ataques como XSS o envenenamiento de caché. La base de datos se bloquea para evitar daños.

¿Qué mecanismo se recomienda usar para la autenticación en lugar de HTTP Basic o Digest?. Los servicios proporcionados por el framework de desarrollo. Un sistema propio desarrollado en C++ desde cero. El envío de credenciales en texto plano por GET. No usar autenticación si la web es interna.

En el contexto de J2EE, ¿qué tecnologías se encargan principalmente de la "Vista" en el patrón MVC?. Servlets y Applets. EJBs (Enterprise Java Beans). JSPs (Java Server Pages) y TagLibs. Triggers de la base de datos.

¿Qué riesgo introduce el método TRACE si no se controla adecuadamente?. Permite borrar archivos del servidor sin permisos. Copia las cabeceras de la petición en la respuesta, exponiendo cookies HttpOnly. Sobrecarga el servidor creando un ataque de denegación de servicio. Revela la estructura interna de directorios del servidor.

¿Cuándo se debe realizar el "Análisis de Riesgos" en un ciclo de vida seguro (SSDLC)?. Únicamente al principio del proyecto, en la fase de diseño. Solo cuando se detecta un incidente de seguridad grave. De forma continua y dinámica a lo largo del ciclo de vida. Justo antes de entregar la aplicación al cliente final.

¿Qué es un "Caso de Abuso" en el desarrollo seguro?. Una descripción de cómo un atacante podría comprometer el sistema. Un reporte de un usuario que ha sido bloqueado por error. Una prueba de rendimiento que satura el servidor. Una cláusula legal en el contrato de software.

¿Qué diferencia principal existe entre POST y GET respecto al envío de parámetros?. POST envía los parámetros en la URL y GET en el cuerpo. GET envía los parámetros en la URL y POST en el cuerpo. No hay diferencia, ambos los envían en la cabecera HTTP. POST solo permite enviar texto y GET permite binarios.

En una aplicación AJAX, si el motor necesita datos del servidor, ¿cómo realiza la petición?. Recargando la página completa obligatoriamente. De forma asíncrona (HTTP Request), usualmente con XML/JSON. Abriendo una ventana emergente (pop-up) al usuario. Esperando a que el usuario cierre el navegador.

¿Qué se entiende por "Defensa en Profundidad" en el diseño de seguridad?. Usar solo una medida de seguridad muy robusta en el perímetro. Aplicar capas de seguridad superpuestas (autenticación, cifrado, logs, etc.). Proteger solo la base de datos y dejar la aplicación abierta. Contratar un seguro de responsabilidad civil para la empresa.