SAB - T6

(U) ¿Cómo validar vulnerabilidades del tipo inyección SQL?. Mejor mediante blacklist que whitelist. Validando en el lado cliente. Mediante sentencias preparadas de SQL. Ninguna de las anteriores.

(U) ¿Cuáles de los siguientes es un proyecto con librerías para validación y control de seguridad en el código de varios lenguajes?. OWASP ESAPI. OWASP JAVA ENCODER PROJECT. https://npmjs.com/package/validator. Ninguna de las anteriores.

(U) ¿Cómo se previene CSRF?. Validación de salida. Validación de token ANTI-CSRF. Consultas parametrizadas. Ninguna de las anteriores.

(U) La mejor forma de evitar path traversal o inclusión de ficheros: a. Protegiendo los sistemas de ficheros adecuadamente. b. Comprobando una lista negra de ficheros no permitidos. c. Comprobando una lista blanca de ficheros permitidos. d. La A y la C.

(U) ¿Cuáles son formas de prevención de XSS en el código?. Validación de entrada. Validación de salida. Cabecera XSS-protection y Content Security Policy. Todas las anteriores son ciertas.

(U) La vulnerabilidad que puede llevar a un usuario a otro sitio web se denomina: LFI. HTTP response splitting. SQLI. Open redirect.

(U) ¿Qué función hay que usar en lugar de eval()?. innerhtml(). innertext(). json.parse(). Las herramientas IAST pueden detectar únicamente, bloquear o sanear la petición.

(U) ¿Cómo se pueden evitar vulnerabilidades XXE?. Validando los datos de entrada en el código fuente. Validando los datos de entrada a través del XSD. No admitiendo definiciones DTD. Todas las anteriores son ciertas.

(U) ¿Qué parámetro y valor de una cabecera SET-COOKIE permite que las cookies solo se enviarán en el contexto del dominio propio de la aplicación y no se enviarán junto con solicitudes iniciadas por sitios web de terceros?. Samesite:strict. Samesite:none. Samesite:lax. Ninguna de las anteriores.

(U) ¿Cuál puede ser una fuente de entrada de datos a una aplicación?. Un formulario. Una conexión TCPIP. Un campo de una tabla de una BD. Todas las anteriores son ciertas.