Seguridad en sistemas, aplicaciones y el big data

COMENTARIOS

ESTADÍSTICAS

RÉCORDS

REALIZAR TEST

Título del Test:

Seguridad en sistemas, aplicaciones y el big data

Descripción:
Tests de los 10 temas 2024

Autor:
AlazneP

OTROS TESTS DEL AUTOR

Fecha de Creación: 2024/06/27

Categoría: Otros

Número Preguntas: 150

Valoración:

(3)

COMPARTE EL TEST

Nuevo Comentario

Comentarios
NO HAY REGISTROS

Temario:

¿A qué afectan las directivas de cuenta?. Solo a las cuentas de usuarios. Solo a las cuentas de servicio. Solo a los administradores. Todas las anteriores son ciertas.

¿Dónde se especifican los cifrados permitidos para Kerberos?. Directivas de cuenta\opciones de seguridad. Directivas locales\opciones de seguridad. Directivas de contraseñas\opciones de seguridad. Ninguna de las anteriores.

Para un controlador de dominio, ¿qué es la directiva de auditoría?. Directiva local. Directiva de cuenta. Directiva de registro. Ninguna de las anteriores.

¿Qué elemento permite delimitar reglas de filtrado para definir el tráfico de red entrante y saliente del servidor que debe ser permitido o denegado?. Reverse proxy. Firewall. Opciones de seguridad. Todas las anteriores son ciertas.

¿Para qué recibirá cada servidor las configuraciones de seguridad a través de directivas de grupo en el nivel de Dominio?. Para cumplir los requisitos comunes de seguridad. Para cumplir los requisitos de seguridad específicos del servidor. Para cumplir los requisitos de seguridad de los roles específicos del servidor. Ninguna de las anteriores.

¿Para qué recibirá cada servidor las configuraciones de seguridad a través de directivas de grupo en el nivel de referencia?. Para cumplir los requisitos comunes de seguridad. Para cumplir los requisitos de seguridad específicos del servidor. Para cumplir los requisitos de seguridad de los roles específicos del servidor. Ninguna de las anteriores.

¿Para qué recibirá cada servidor las configuraciones de seguridad a través de directivas de grupo en el nivel de Rol?. Para cumplir los requisitos comunes de seguridad. Para cumplir los requisitos de seguridad específicos del servidor. Para cumplir los requisitos de seguridad de los roles específicos del servidor. Ninguna de las anteriores.

La protección avanzada contra amenazas de Windows Defender (ATP), es una característica de qué Windows server. 2019. 2016. 2022. Ninguna de las anteriores.

¿En qué versión de Windows Server está introducida la novedad Virtual Secure Mode?. 2019. 2016. 2022. Ninguna de las anteriores.

¿En qué versión de Windows Server está introducida la novedad Secured-core server?. 2019. 2016. 2022. Ninguna de las anteriores.

¿Qué puede suponer la vulnerabilidad de HTTP response splitting?. La B y la D son correctas. La inyección de código JAVASCRIPT. La inyección de código SQL. La inyección de código HTML.

¿Cuáles son los objetivos de seguridad de los sistemas TIC?. No repudio, funcionamiento correcto, trazabilidad, confidencialidad, disponibilidad e integridad. No repudio, trazabilidad, autenticación, autorización y control de acceso, confidencialidad, disponibilidad e integridad. No repudio, autenticación, autorización y control de acceso, confidencialidad, disponibilidad e integridad. A y B son correctas.

¿Cuál de los siguientes corresponde a un modelo de desarrollo de software seguro?. SDL. CLASP. TOUCHPOINTS. Todos las anteriores son ciertas.

¿En qué fase se le debe realizar un test de penetración a una aplicación web?. Diseño. Desarrollo. Pruebas. Producción.

¿De qué depende la derivación de requisitos de seguridad?. El modelado de amenazas o casos de abuso. Del análisis de riesgos. Análisis de seguridad del código fuente. La A y la B.

Antes del test de penetración, ¿qué actividades de seguridad hay que llevar a cabo?. Derivación de requisitos de seguridad. Modelado de amenazas. Análisis de seguridad del código fuente. Todas las anteriores son ciertas.

¿Cuál es el pilar de la seguridad que debe adoptarse para implementar la seguridad de una aplicación web desde el principio del desarrollo?. SSDLC. SGSI. SQLI. OWASP.

¿Qué método HTTP permite conectarse a un servicio situado detrás de un proxy?. PUT. GET. POST. CONNECT.

¿Qué método HTTP permite obtener solo las cabeceras de la aplicación web?. PUT. HEAD. POST. GET.

¿Qué método HTTP envía los parámetros en la URL?. GET. POST. PUT. Todas las anteriores.

¿Cuáles de las siguientes vulnerabilidades son del tipo inyección?. SQLI. CSRF. HTTP response splitting. A y C son correctas.

¿Cuál de las siguientes opciones es un ejemplo de ataque XSS?. ‘or 1=1#. <script>alert("hacked")</script>. …/../template.ini. Ninguna de las anteriores.

¿Cómo se previene SQLI?. Test de penetración. No se puede controlar. Validación de entrada mediante consultas parametrizadas. Análisis de código.

¿Qué te permite hacer Path traversal o inclusión de ficheros?. Permite acceder a recursos del sistema de ficheros no permitidos. Permite autenticarse suplantando a un usuario. Permite robo de credenciales. La A y la C.

¿Cuál es el principal objetivo de XSS?. Navegador. Servidor. Sistema de ficheros del servidor. Ninguna de las anteriores.

¿Cuál es el objetivo de CSRF?. Es cíclico, se basa en monitorización continua. Puede seguir un ciclo PDCA. No afecta a todas las partes de la organización. Aprovecharse de la sesión activa de un usuario en una aplicación.

¿A qué formato afecta la deserialización insegura?. JSON. XML. ARRAY JAVASCRIPT. Todas las anteriores.

¿Path traversal es una vulnerabilidad de la categoría?. Inyección. Violación del control de acceso. Pérdida de autenticación y gestión de sesiones. Ninguna de las anteriores.

¿Cuál de las siguientes opciones sobre la vulnerabilidad CVE es correcta?. Es pública conocida. Puede existir parche. Es relativa a un software concreto. Todas las anteriores.

HTTP response splitting es una vulnerabilidad que puede suponer…. La B y la D son correctas. Inyección de código JAVASCRIPT. Inyección de código SQL. la inyección de código HTML.

¿Cómo envía Basic las credenciales al servidor de aplicaciones?. Cifrados. En claro. Codificadas base-64. HASH MD5.

¿Qué usa Digest?. Nonce. Response. HASH. Todas las anteriores.

¿Qué tipo de tickets usa Kerberos para obtener tikects de servicio?. TGT. TGS. TFS. AES.

¿Qué tipo de tickets usa Kerberos para acceder al servicio?. TGT. TGS. TFS. AES.

¿Cuál es el parámetro en Digest que bien implementado evita ataques de repetición?. MD5. CNONCE. NONCE. Response.

¿Qué usa OAUT2?. Token de acceso servicio. Código de autorización. La a y la b. Ninguna de las anteriores.

¿Qué métodos de AUTH se suelen usar en Active Directory?. NTLM. KERBEROS. DIGEST. La a y la b.

¿Qué usa Kerberos?. BASE64. Tickects. Token. Assertion.

¿Qué ataques pueden darse en la autenticación?. Repetición. Fuerza bruta. MITM. Todas las anteriores.

¿Cuál podría ser una recomendación para una autenticación robusta?. Política robusta de contraseñas. Captcha. SALT. Todas las anteriores.

¿Cuál es la longitud mínima recomendada de un identificador de sesión?. 28 bits. 128 bits. 1024 bits. 2048 bits.

¿Con qué parámetro o parámetros es más segura una cookie?. Secure. Httponly. Expires. Todas las anteriores.

¿Qué tipo de ataque permite suplantar a un usuario?. De repetición capturando un ID de sesión activo. Adivinación del ID de un ID de sesión activo. Fijación de sesión. Todas las anteriores.

¿Qué te permite hacer un token anti-CSRF?. Validar la procedencia de una petición. Evitar XSS. Evitar SQLI. Ninguna de las anteriores.

¿Cuándo se debe crear el ID de sesión?. Antes de la autenticación. Después de la autenticación correcta. En cualquier momento. No es necesario.

¿Dónde puede ubicarse el ID de sesión?. Cabecera SET-COOKIE. Parámetro URL. Parámetro POST. Todas las anteriores.

¿Cómo se denomina la base de datos del mecanismo de autorización?. Lista de control de acceso. Base de datos. Roles. Recursos.

¿Cuál es un ataque a la autorización?. TOCTOU. XSS. LFI. Todos los anteriores.

¿Cuál son mecanismo de defensa para una buena autorización?. Política robusta de contraseñas. Separación de roles y tareas. Administración robusta de permisos. Todas las anteriores.

¿A qué es debido TOCTOU?. A no diseñar operaciones atómicas. A no bloquear el acceso a los recursos debidamente. A no tener un identificador de sesión largo. La A y la B.

¿Cómo validar vulnerabilidades del tipo inyección SQL?. Mejor mediante blacklist que whitelist. Validando en el lado cliente. Mediante sentencias preparadas de SQL. Ninguna de las anteriores.

¿Cuáles de los siguientes es un proyecto con librerías para validación y control de seguridad en el código de varios lenguajes?. OWASP ESAPI. OWASP JAVA ENCODER PROJECT. https://npmjs.com/package/validator. Ninguna de las anteriores.

¿Cómo se previene CSRF?. Validación de salida. Validación de token ANTI-CSRF. Consultas parametrizadas. Ninguna de las anteriores.

La mejor forma de evitar path traversal o inclusión de ficheros: Protegiendo los sistemas de ficheros adecuadamente. Comprobando una lista negra de ficheros no permitidos. Comprobando una lista blanca de ficheros permitidos. La A y la C.

¿Cuáles son formas de prevención de XSS en el código?. Validación de entrada. Validación de salida. Cabecera XSS-protection y Content Security Policy. Todas las anteriores son ciertas.

La vulnerabilidad que puede llevar a un usuario a otro sitio web se denomina: LFI. HTTP response splitting. SQLI. Open redirect.

¿Qué función hay que usar en lugar de eval()?. innerhtml(). innertext(). josn.parse(). Las herramientas IAST pueden detectar únicamente, bloquear o sanear la petición.

¿Cómo se pueden evitar vulnerabilidades XXE?. Validando los datos de entrada en el código fuente. Validando los datos de entrada a través del XSD. No admitiendo definiciones DTD. Todas las anteriores son ciertas.

¿Qué parámetro y valor de una cabecera SET-COOKIE permite que las cookies solo se enviarán en el contexto del dominio propio de la aplicación y no se enviarán junto con solicitudes iniciadas por sitios web de terceros?. Samesite:strict. Samesite:none. Samesite:lax. Ninguna de las anteriores.

¿Cuál puede ser una fuente de entrada de datos a una aplicación?. Un formulario. Una conexión TCPIP. Un campo de una tabla de una BD. Todas las anteriores son ciertas.

¿Qué tipo de análisis puede realizar una herramienta SAST para comprobar las interacciones entre distintas funciones?. Intraprocedural. Interprocedural. Semántico. Todos los anteriores.

¿Qué tipo de análisis realiza una herramienta de tipo DAST?. Semántico. Sintáctico. Interprocedural. Intraprodedural.

¿Qué pueden instrumentar las herramientas de tipo IAST?. Código fuente. Peticiones y respuestas. Código ejecutable. Ninguna de las anteriores.

¿En qué fase se realiza el test funcional de seguridad?. Análisis. Diseño. Desarrollo. Pruebas o despliegue.

¿En qué fase se realiza el análisis estático de código fuente?. Análisis. Diseño. Desarrollo. Pruebas o despliegue.

¿De qué se encarga el análisis estático de caja blanca?. Realiza un análisis local de cada función. Realiza un análisis interprocedural entre clases o módulos. Realiza un análisis léxico, sintáctico y semántico del código fuente y configuraciones. Todas las anteriores.

Señalar la afirmación falsa: Las herramientas de análisis de tipo IAST no suelen tener falsos positivos. Las herramientas RASP se pueden utilizar como firewalls de aplicaciones web de tipo software. Las herramientas de tipo IAST normalmente no tienen impacto en el rendimiento. Las herramientas IAST obtienen un informe del análisis de vulnerabilidades.

Selecciona cuál de las siguientes afirmaciones referente a las herramientas de tipo RASP es correcta: Bloquean las peticiones maliciosas que son capaces de explotar una vulnerabilidad. No bloquean, solo detectan vulnerabilidades. Tienen muchos falsos positivos. Todas las anteriores son ciertas.

¿En qué fase se usan las herramientas de tipo RASP?. Análisis. Diseño. Desarrollo. Producción.

Señalar la afirmación correcta en cuanto a herramientas de análisis de la seguridad SAST. Las herramientas SAST no cubren todo en el código de la aplicación. Las herramientas SAST tienen falsos negativos y falsos positivos. Las herramientas SAST no pueden analizar el código ejecutable. Todas las anteriores son falsas.

¿Qué utiliza un WAF para detectar y bloquear ataques web?. Expresiones regulares. Análisis semántico. No bloquea ataques. Ninguna de las anteriores.

¿Qué tipo de instalación de un WAF detecta, pero no bloquea un ataque?. Bridge. Proxy reverso. Pasivo. Ninguna de las anteriores.

¿Qué tipo de instalación es la más recomendable para un WAF?. Bridge. Proxy reverso. Pasivo. Ninguna de las anteriores.

¿Cuál es el modo de instalación de un WAF que no necesita cambiar la configuración IP de la LAN de la organización?. Bridge. Proxy reverso. Bridge. Ninguna de las anteriores.

¿Cuáles son formas de diseño de un WAF?. Hardware específico. Embebido en el hardware. Servidor de propósito general. Todas las anteriores son ciertas.

¿Cuáles de las siguientes opciones corresponden a defensas frente a ataques de denegación de servicio?. Balanceadores de carga. Cluster de servidores. WAF. Todas las anteriores.

Señala la afirmación falsa: Las herramientas de análisis de tipo IAST no suelen tener falsos positivos. Las herramientas RASP no se pueden utilizar como firewalls de aplicaciones web de tipo software. Las herramientas de tipo IAST normalmente tienen impacto en el rendimiento. Las herramientas IAST únicamente pueden detectar, bloquear o sanear la petición.

¿De qué forma se pueden instalar los firewalls de aplicaciones web?. Reverse proxy. Modo transparente. Modo pasivo. Todas las anteriores son ciertas.

Respecto a las variantes de instalación de los firewalls de aplicaciones web, señala cuál de las siguientes afirmaciones es la correcta: La configuración en modo proxy inverso es la más deseable. Se debe proporcionar redundancia en la configuración con dos WAF. Todas son correctas. Blacklist consiste en mantener una base de datos de firmas de ataques mientras que whitelist consiste en tener un modelo de tráfico aceptado entre la aplicación y el cliente.

¿Con qué parámetro se debe configurar idealmente la cabecera X-FRAME-OPTIONS?. none. *. all. Todas las anteriores son falsas.

¿Qué tres componentes incorpora Azure Key Vaull?. Almacenes. Secretos. Claves. Todas las anteriores.

¿Cuál de las siguientes opciones se puede utilizar para administrar la gobernanza en varias suscripciones de Azure?. Recursos. Grupos de recursos. Grupos de administración. Ninguna de las anteriores.

¿Cuál de siguientes opciones es una unidad lógica de servicios de Azure asociada a una cuenta de Azure?. Subscripción de Azure. Grupo de administración. Grupo de recursos. Ninguna de las anteriores.

¿Cuál de las siguientes propiedades no se aplica a los grupos de recursos?: Los recursos solo pueden incluirse en un grupo de recursos. Control de acceso basado en rol. Se pueden anidar. Ninguna de las anteriores.

¿Cuál de las siguientes afirmaciones sobre la suscripción de Azure es válida?. El uso de Azure no requiere una suscripción. Una suscripción de Azure es una unidad lógica de servicios de Azure. Se puede requerir suscripción o no. Todas las anteriores son ciertas.

¿Qué información proporciona un elemento Action en una definición de roles?. Un elemento Action facilita las capacidades de administración que están permitidas. Un elemento Action determina qué datos puede manipular el rol. decide a qué recurso se aplica el rol. Todas las anteriores.

¿Cómo se usa NotActions en una definición de roles?. NotActions se restan de Actions para definir la lista de operaciones permitidas. NotActions se consulta después de Actions para denegar el acceso a una operación específica. NotActions permite especificar una única operación que no está permitida. Ninguna de las anteriores.

¿Qué es una definición de roles en Azure?. Una colección de permisos con un nombre que se puede asignar a un usuario, grupo o aplicación. La colección de usuarios, grupos o aplicaciones que tienen permisos para un rol. El enlace de un rol a una entidad de seguridad en un ámbito específico para conceder acceso. Todas las anteriores son ciertas.

Un administrador quiere asignar un rol para permitir a un usuario crear y administrar recursos de Azure, pero sin poder conceder acceso a otros usuarios. ¿Cuál de los siguientes roles integrados admitiría esta posibilidad?. Propietario. Colaborador. Lector. Ninguna de las anteriores.

¿Qué es el orden de herencia para el ámbito en Azure?. Grupo de administración, grupo de recursos, suscripción, recurso. Grupo de administración, suscripción, grupo de recursos, recurso. Suscripción, grupo de administración, grupo de recursos, recurso. Ninguna de las anteriores.

¿Cuáles de las siguientes opciones son áreas de aplicación de big data?. Energía. Salud. Seguridad. Todas las anteriores son correctas.

¿Cuál de estas afirmaciones, referentes al Big Data, es correcta?. Las bases de datos son de tipo relacional. Se están utilizando más BD NoSQL. El análisis de datos no necesita ser paralelo. No se necesita soporte de tiempo real.

Según el Cloud Security Alliance, ¿cómo se categoriza el cifrado de datos?. En seguridad de datos. En seguridad infraestructura. En control de acceso. En privacidad.

El NIST define una taxonomía conceptual de seguridad de big data, ¿y qué otra cosa?. Una taxonomía operativa de seguridad de big data. Una taxonomía de atributos de seguridad de big data. Una taxonomía procedimental de seguridad de big data. Ninguna de las anteriores.

¿Qué es Knox?. Un Gateway soap. Una herramienta de cifrado. Un Gateway rest. Ninguna de las anteriores.

¿Qué es Sentry?. Una herramienta de control de acceso a recursos. Una herramienta de cifrado. Una herramienta gestión de datos. Un escáner de seguridad de BD.

¿Qué es Apache Ranger?. Una herramienta de control de acceso a recursos. Una herramienta de cifrado. Una herramienta gestión de datos. Un scanner de seguridad de BD.

La implementación big data HDInsight es un producto de: AWS. IBM. ORACLE. MICROSOFT.

Azure HDInsight incluye: Apache Hadoop, Spark, Hive y Kafka. Apache Hadoop, Spark, Hive y AWS. Apache Hadoop, Spark, Hive y Cloudera. Ninguna de las anteriores.

¿Con qué regla se escribe el concepto de «big data»?. CIA: confidencialidad, Integridad y autorización. Las 5 V: visión, velocidad, veracidad, valor y variedad. Las 3 V: volumen, velocidad y variedad. Las 3 V: volumen, velocidad y visibilidad.

Los ataques pueden ser debidos a diversos tipos de vulnerabilidades, en función de la fase del ciclo de vida de desarrollo del software y sistemas, donde se ha producido el problema: Vulnerabilidades de operación, implementación y diseño. Vulnerabilidades de operación, implementación y definición. Vulnerabilidades de pruebas, implementación y diseño. Ninguna de las anteriores.

Los firewalls de aplicaciones web pueden instalarse de forma que inspeccionan pero no bloquean el tráfico. Esta forma de instalación se denomina: Modo proxy inverso. Modo pasivo. Modo bridge. Modo embebido.

Señalar la opción más correcta en cuanto a los firewalls de aplicaciones del tipo proxy inverso: Se configura publicando la dirección de la interfaz externa del cortafuegos para redirigir el tráfico al servidor de aplicaciones. El dispositivo examina todo el tráfico de red bloqueándolo si detecta algún ataque o reenviando la petición al servidor. Se instala de forma que recibe un duplicado del tráfico via network tap, de forma que pueda ser analizado y detectar ataques pero sin posibilidad de bloquear. La a y la b son correctas.

¿Cómo se llama la cabecera que aloja normalmente el ID de sesión?. REFERER. AUTENTICATION. AUTORIZATION. SET-COOKIE.

Defensas de cabecera set-cookie: TLS. PATH. HTTPONLY. Todas las anteriores.

¿Cuáles de estas medidas han de adoptarse para dotar de seguridad a un identificador de sesión?. Tiempo máximo de duración de sesión. Tiempo máximo de inactividad. Invalidar o eliminar el identificador de sesión cuando el usuario termina la sesión. Todas las anteriores son correctas.

NTLM…. Cifra las credenciales en todas las peticiones. Codifica las credenciales en todas las peticiones. HASH de las credenciales en todas las peticiones. Cifra y codifica las credenciales en todas las peticiones.

¿Qué tipo de vulnerabilidad contiene el siguiente fragmento de código? <HTML><TITLE>HOLA!</TITLE>Hi<SCRIPT>var pos=document.URL.indexOf(“name=”)+5;document-write(document.URL.substring(pos, document.URL.length)); </SCRIPT> Bienvenido al sistema …</HTML>. PATH TRAVERSAL. SQLI. XSS. HTTP RESPONSE SPPLITING.

Un test funcional de seguridad se lleva a cabo en la fase de…. Análisis. Desarrollo. Despliegue. Producción.

¿Cómo transporta BASIC usuario-contraseña?. Cifrados. En claro. Codificados base-64. HASH MD5.

Digest, con respecto al usuario y la contraseña…. Los cifra. Van en claro. Codificados base-64. HASH MD5.

Digest usa.. Nonce. Response. HASH. Todas las anteriores.

¿Cómo envia NTLM usuario-contraseña?. Usa HMAC-MD5. AES. DES. HTTPS.

¿Cómo se llaman los parámetros que calcula NTML y envía al servidor?. nonce, AES. ntv2, lmv2. blob, timestamp. Ninguna de las anteriores.

TLS usa…. HASH. AES. RSA. Todas las anteriores.

Problemas con TLS: Rendimiento. MITM. Vulnerabilidades CVE. Todas las anteriores.

Kerberos usa…. Token. Ticket. Assertion. Nonce.

¿Cuál es la longitud mínima de claves pública-privada en RSA(TLS)?. 256. 512. 1024. 2048.

¿Cuál es la longitud mínima de claves recomendada para AES?. 256. 512. 1024. 2048.

¿Qué métodos de auth se suelen usar en Active Directory?. NTLM. KERBEROS. DIGEST. La a y la b.

¿Qué tipo de tickets usa Kerberos para obtener tickets de servicio?. TGT. TGS. TES. AES.

¿Qué tipo de tickets usa Kerberos para acceder al servicio?. TGT. TGS. TES. AES.

¿Cuál es el parámetro en DIGEST que bien implementado evita ataques de repetición?. MD5. cnonce. nonce. response.

OAUTH2 usa…. Token de acceso servicio. Código de autorización. La a y la b. Ninguna de las anteriores.

¿Qué longitud mínima (bits) se recomienda para un identificador de sesión?. 56. 128. 256. 1024.

¿Dónde puede ubicarse el ID de sesión?. Cabecera SET-COOKIE. Parámetro GET. Parámetro POST. Reescritura URL. Todas las anteriores.

¿Qué parámetro impide acceso a la cabecera SET-COOKIE desde scripts?. Secure. path. domain. httponly.

¿Cuándo se debe crear el ID de sesión?. Antes de la autenticación. Después de la autenticación. En cualquier momento. No es necesario.

Ataques que puede sufrir la autenticación: MITM. FUERZA BRUTA. REPETICIÓN. Todas las anteriores.

Ataques que puede sufrir la gestión de sesión: MITM. FUERZA BRUTA. REPETICIÓN. XSS. SQLI. Ingenieria social. Todas las anteriores.

Respecto a las actividades y buenas prácticas de seguridad en el ciclo de vida de desarrollo seguro de aplicaciones o sistemas, señalar la opción incorrecta: Las actividades de seguridad del SSDLC hay que repetirlas a lo largo del ciclo de vida lo que supone un ciclo continuo. Hay que realizar antes las pruebas de penetración que la revisión de código. hay que realizar una derivación de requisitos de seguridad y de casos de abuso. Nuevos defectos de implementación de partes que se modifican con arreglo a nuevas especificaciones ó cambios en las mismas implica nueva revisión de código y nuevas pruebas de seguridad en operación del sistema.

Señalar la afirmación falsa. Las herramientas DAST encuentran menos vulnerabilidades que las de tipo SAST. Las herramientas de tipo DAST no pueden encontrar ciertos tipos vulnerabilidades ya que realizan un análisis sintáctico de la aplicación. El análisis DAST solo puede testear las partes de la aplicación accesibles externamente. Todas las anteriores son falsas.

¿Qué herramienta se puede utilizar para ataques de fuerza bruta basados en diccionario offline?. BRUTUS. JOHN THE RIPPER. HYDRA. FIRESHEEP.

¿Donde puede ubicarse el ID de sesión?. CABECERA SET COOKIE. PARÁMETRO GET. PARÁMETRO POST. TODAS LAS ANTERIORES SON CIERTAS.

Cada servidor recibirá las configuraciones de seguridad a través de directivas de grupo en el nivel de Referencia. Para cumplir los requisitos comunes de seguridad. Para cumplir los requisitos de seguridad específicos del servidor. Para cumplir los requisitos de seguridad de los roles específicos del servidor. Ninguna de las anteriores.

Cada servidor recibirá las configuraciones de seguridad a través de directivas de grupo en el nivel de Rol... Para cumplir los requisitos comunes de seguridad. Para cumplir los requisitos de seguridad específicos del servidor. Para cumplir los requisitos de seguridad de los roles específicos del servidor. Ninguna de las anteriores.

CWE... Deficición de un tipo de vulnerabilidad de forma genérica (diccionario). un tipo de ataque. Publicación de la existencia de una vulnerabilidad concreta en un software concreto. Un proyecto OWASP.

DAC con respecto al servicio de autorización significa: Gestión de autorización delegada. Gestión de autorización centralizada. Gestión de autorización mixta. Ninguna de las anteriores.

Defensas de cabecera Set-cookie... TLS. PATH. HTTPONLY. TODAS LAS ANTERIORES.

Para explotar HTTP RESPONSE SPLITTING hay que usar los caracteres... //. COMILLA. CR LF. ./.

¿Como se puede implementar el código de autorización?. Desarrollo propio como otra función de la aplicación. Desarrollo propio con procedimientos almacenados. Librerias del framework de desarrollo. Todas las anteriores son ciertas.

¿Que método de autenticación NO es recomendable?. DIGEST. BASIC. NTLM. KERBEROS.

¿Qué método HHTP sirve para saber qué otros métodos implementa el servidor?. GET. POST. OPTIONS. TRACE.

¿Cuál de las opciones siguientes, se puede utilizar para administrar la gobernanza en varias suscripciones de Azure?. Recursos. Grupos de recursos. Grupos de administración. Ninguna de las anteriores.

NTLM... Cifra las credenciales en todas las peticiones. Codifica las credenciales en todas las peticiones. HASH de las credenciales en todas las peticiones. Cifra y codifica las credenciales en todas las peticiones.

DAC con respecto al servicio de autorización significa: Gestión de autorización delegada. Gestión de autorización centralizada. Gestión de autorización mixta. Ninguna de las anteriores.

Denunciar Test

▲