¿Cuáles son los objetivos de seguridad de los Sistemas TIC? No repudio, funcionamiento correcto, trazabilidad, confidencialidad, disponibilidad, integridad. No repudio, trazabilidad, autenticación, autorización y control de acceso, confidencialidad, disponibilidad, integridad. No repudio, autenticación, autorización y control de acceso, confidencialidad, disponibilidad, integridad. A y B son correctas.
¿Cuáles son los tipos de vulnerabilidades que un sistema puede tener? Calidad, diseño, operación. Calidad, implementación, diseño. Diseño, implementación, operación. Ninguna de las anteriores.
Señala la afirmación correcta. C#, Java, Python, Ruby o dialectos de C como CCured y Cyclone son lenguajes que fuerzan la comprobación de tipos y de memoria de forma que su gestión sea segura. C y C++ son lenguajes seguros y ampliamente utilizados. Con lenguajes de programación «seguros» el programador no ha de preocuparse. Todas las anteriores son falsas.
La derivación de requisitos de seguridad depende de: El modelado de amenazas o casos de abuso. Del análisis de riesgos Análisis de seguridad del código fuente. La A y la B.
¿Cuál es uno de los pilares de la seguridad organizativa? Política de seguridad. SANS. WASC. Ninguna de las anteriores.
¿Cuál es el pilar de la seguridad que debe adoptarse para implementar la seguridad de una aplicación web desde el principio del desarrollo? SSDLC. SGSI. SQLI OWASP.
¿A qué formato afecta la deserialización insegura? JSON. XML. ARRAY JAVASCRIPT. Todas las anteriores.
¿Path Traversal es una vulnerabilidad de la categoría? Inyección. Violación del control de acceso. Pérdida de autenticación y gestión de sesiones. Ninguna de las anteriores.
Una vulnerabilidad CVE: Es pública conocida. Puede existir parche. Es relativa a un software concreto. Todas las anteriores.
HTTP response splitting es una vulnerabilidad que puede suponer: La B y la D son correctas. Inyección de código JAVASCRIPT. Inyección de código SQL. la inyección de código HTML.
¿Cuál es la longitud mínima recomendada de un identificador de sesión? 28 bits. 128 bits. 1024 bits. 2048 bits.
¿Con que parámetros de los siguientes es más segura una cookie? Secure. Httponly. Expires. Todas las anteriores.
¿Qué tipo de ataque permite suplantar a un usuario? De repetición capturando un ID de sesión activo. Adivinación del ID de un ID de sesión activo. Fijación de sesión. Todas las anteriores.
Un token anti-CSRF permite: Validar la procedencia de una petición. Evitar XSS. Evitar SQLI. Ninguna de las anteriores.
Digest usa: Base64. MD5. RSA. Ninguna de las anteriores.
Basic usa: BASE64. MD5. RSA. DES.
NTLM usa: BASE64. MD5. RSA. HMAC.
KERBEROS usa: BASE64. Tickects. Token. Assertion.
Oauth 2.0 utiliza: Tickect. Tolen. Assertion. Todas las anteriores.
CORS permite: Ejecutar scripts. Evita SQLi. Controlar el acceso a otros dominios del de la aplicación. Ninguna de las anteriores.
¿Cómo validar vulnerabilidades del tipo inyección SQL? Mejor mediante blacklist que whitelist. Validando en el lado cliente. Mediante sentencias preparadas de SQL. Ninguna de las anteriores.
¿Cuáles de los siguientes es un proyecto con librerías para validación y control de seguridad en el código de varios lenguajes? OWASP ESAPI. OWASP JAVA ENCODER PROJECT. https://npmjs.com/package/validator. Ninguna de las anteriores.
¿Cómo se previene CSRF? Validación de salida. Validación de token ANTI-CSRF. Consultas parametrizadas. Ninguna de las anteriores.
La mejor forma de evitar path traversal o inclusión de ficheros: Protegiendo los sistemas de ficheros adecuadamente. Comprobando una lista negra de ficheros no permitidos. Comprobando una lista blanca de ficheros permitidos. La A y la C.
¿Cuáles son formas de prevención de XSS en el código? Validación de entrada. Validación de salida. Cabecera XSS-protection y Content Security Policy. Todas las anteriores son ciertas.
El análisis estático de caja blanca: Realiza un análisis local de cada función. Realiza un análisis interprocedural entre clases o módulos. Realiza un análisis léxico, sintáctico y semántico del código fuente y configuraciones. Todas las anteriores.
Señalar la afirmación falsa: Las herramientas de análisis de tipo IAST no suelen tener falsos positivos. Las herramientas RASP se pueden utilizar como firewalls de aplicaciones web de tipo software. Las herramientas de tipo IAST normalmente no tienen impacto en el rendimiento. Las herramientas IAST pueden detectar únicamente, bloquear o sanear la petición.
Los firewalls de aplicaciones web se pueden instalar de varias formas: Reverse proxy. Modo transparente. Modo pasivo. Todas las anteriores son ciertas.
Respecto a las variantes de instalación de los firewalls de aplicaciones web señala las afirmaciones correctas: La configuración en modo proxy inverso es la más deseable. Se debe proporcionar redundancia en la configuración con dos WAF. Todas las afirmaciones son correctas. Blacklist consiste en mantener una base de datos de firmas de ataques mientras que whitelist consiste en tener un modelo de tráfico aceptado entre la aplicación y el cliente.
Señalar la afirmación correcta en cuanto a herramientas de análisis de la seguridad SAST. Las herramientas SAST no cubren todo en código de la aplicación. Las herramientas SAST tienen falsos negativos y falsos positivos. Las herramientas SAST no pueden analizar código ejecutable. Todas las anteriores son falsas.
La principal diferencia entre las aplicaciones móviles y las aplicaciones web es: Las aplicaciones web son nativas del SO, las móviles requieren de un web browser. Las aplicaciones web funcionan en un navegador, las móviles en aplicación nativa. Las aplicaciones móviles se programan en HTML y las web en Java Script. Las aplicaciones web no funcionan en los dispositivos móviles, mientras que las móviles funcionan en ambos.
Un sistema operativo móvil es: Un web browser especialmente adaptado para su funcionamiento en dispositivos móviles. Una versión con menos funciones que el sistema operativo original. Aquel que permite una abstracción del hardware a fin de optimizar los recursos de un dispositivo móvil. Aquel que permite que los dispositivos móviles usen los programas que fueron inicialmente creados para su uso en computadoras personales.
iOS es el sistema operativo móvil líder del mercado, con la mayor cuota de usuarios activos: Verdadero. Falso.
Los principales tipos de aplicaciones móviles son: De red, de wifi y sin conexión. 2G, 3G, y 4G. Genéricas, específicas y comerciales. Nativas, web e híbridas.
Dentro de las medidas de seguridad que se deben considerar en las aplicaciones móviles encontramos: Autenticación, seguridad, confidencialidad e integridad. Modificación, actualización, restauración y confidencialidad. Contraseñas, acceso, salida y reingreso. PIN, actualización, seguimiento y antivirus.
Algunos de los principales riesgos de seguridad de las aplicaciones son: Integridad, conexiones inseguras, encriptación rota y código fuente desconocido. Hackers, usuarios, servidores y conexiones. Falta de conexión, falta de espacio en memoria, falta de actualización de las aplicaciones. Descargas inseguras, conexión lenta y falta de espacio en el disco del dispositivo.
Una de las medidas de seguridad sugeridas para proteger las aplicaciones en Sistemas Operativos móviles es: Mantener el dispositivo apagado cuando no se encuentre este en uso. Quitar la tarjeta de memoria externa y trabajar solo con la memoria interna del dispositivo. Mandar a la tarjeta de memoria cualquier entrada que se vea sospechosa. Rechazar cualquier entrada no válida en lugar de intentar comprobar datos potencialmente hostiles o dañinos.
Las aplicaciones móviles representan ventajas con respecto a las aplicaciones web en cuanto: Pueden funcionar aun estando sin conexión. Tienen acceso a mayor cantidad de información en el servidor. No hay virus que las infecten debido a su programación en Java. No hay rastreo por parte de los buscadores al no estar fijas en una PC.
La base de datos utilizada en los dispositivos Android es: Oracle for mobile. SQLite. MySQL. PostgreSQL.
En los sistemas operativos móviles el concepto framework significa: Es un lenguaje de programación que se usa para el desarrollo de entornos móviles. Es una serie de herramientas tales como HTML5 y CSS que se usa para el desarrollo de código de dispositivos móviles. Es un esquema o patrón usado para el desarrollo o la implementación de una aplicación. Es un manejador de bases de datos especialmente desarrollado para dispositivos móviles.
|
