SSABD-ALL

COMENTARIOS

ESTADÍSTICAS

RÉCORDS

REALIZAR TEST

Título del Test:

SSABD-ALL

Descripción:
Examen 123por mi

Autor:
EL

OTROS TESTS DEL AUTOR

Fecha de Creación: 2025/09/05

Categoría: Otros

Número Preguntas: 130

Valoración:

(0)

COMPARTE EL TEST

Nuevo Comentario

Comentarios
NO HAY REGISTROS

Temario:

¿Qué herramienta se puede utilizar para ataques de fuerza bruta basados en diccionario offline?. A. BRUTUS. B. JOHN THE RIPPER. C. HYDRA. D. FIRESHEEP.

Cada servidor recibirá las configuraciones de seguridad a través de directivas de grupo en el nivel de Referencia: A. Para cumplir los requisitos comunes de seguridad. B. Para cumplir los requisitos de seguridad específicos del servidor. C. Para cumplir los requisitos de seguridad de los roles específicos del servidor. D. Ninguna de las anteriores.

Cada servidor recibirá las configuraciones de seguridad a través de directivas de grupo en el nivel de Rol: A. Para cumplir los requisitos comunes de seguridad. B. Para cumplir los requisitos de seguridad específicos del servidor. C. Para cumplir los requisitos de seguridad de los roles específicos del servidor. D. Ninguna de las anteriores.

XSS DOM es más típico en: A. Servicios web. B. Aplicaciones AJAX. C. Aplicaciones C/S. D. Aplicaciones web tradicionales.

¿Cuál de las siguientes afirmaciones sobre una suscripción de Azure es válida?. A. El uso de Azure no requiere una suscripción. B. Una suscripción de Azure es una unidad lógica de servicios de Azure. C. Se puede requerir suscripción o no. D. Todas las anteriores son ciertas.

Un WAF... A. No puede tener falsos negativos. B. Bloquea en modo reverse proxy. C. No puede tener falsos positivos. D. Bloquea en modo pasivo.

HTTP RESPONSE SPLITTING... A. Script. B. Union select. C. Los caracteres CR LF. D. Cualquier payload.

Ataques debidos a vulnerabilidades de SQL injection, señalar la afirmación incorrecta: A. Pueden ser debidos a campos de entrada sin validar en las aplicaciones web. B. Se pueden evitar ataques aplicando parches en el SGBD y actualizando la aplicación. C. Es una de las vulnerabilidades más frecuentes. D. Ninguna de las anteriores.

OPENID-CONNECT es... A. Un método de autenticación SSO. B. Un protocolo de cifrado. C. Ninguna de las anteriores. D. Un mecanismo de firma.

Respecto a las actividades y buenas prácticas de seguridad en el ciclo de vida de desarrollo seguro de aplicaciones o sistemas, señalar la opción incorrecta: A. Las actividades de seguridad del SSDLC hay que repetirlas a lo largo del ciclo de vida, lo que supone un ciclo continuo. B. Hay que realizar antes las pruebas de penetración que la revisión de código. C. Hay que realizar una derivación de requisitos de seguridad y de casos de abuso. D. Nuevos defectos de implementación de partes que se modifican con arreglo a nuevas especificaciones o cambios en las mismas implican nueva revisión de código y nuevas pruebas de seguridad en operación del sistema.

Un ataque de denegación de servicio es debido a un problema de: A. Operación. B. Implementación. C. Diseño. D. Ninguna de las anteriores.

¿Cuál es el primer pilar de la seguridad para las aplicaciones online?. A. Monitorización continua. B. SGSI. C. Política de seguridad. D. SSDLC.

TRACE tiene la vulnerabilidad... A. XSS. B. XST. C. SQLI. D. CSRF.

¿Cuál es la principal diferencia entre la arquitectura de una aplicación web tradicional y una aplicación AJAX?. A. En una aplicación web tradicional la lógica de presentación puede estar en lado. B. En una aplicación AJAX la lógica de presentación reside en el lado servidor. C. En una aplicación AJAX la lógica de presentación reside en el cliente. D. Ninguna de las anteriores.

Señalar la opción más correcta en cuanto a los firewalls de aplicaciones del tipo proxy inverso: A. Se configura publicando la dirección de la interfaz externa del cortafuegos para redirigir el tráfico al servidor de aplicaciones. B. El dispositivo examina todo el tráfico de red bloqueándolo si detecta algún ataque o reenviando la petición al servidor. C. Se instala de forma que recibe un duplicado del tráfico vía network tap, de forma que pueda ser analizado y detectar ataques pero sin posibilidad de bloquear. D. La A y B son correctas.

¿Cuál de opciones siguientes es una unidad lógica de servicios de Azure asociada a una cuenta de Azure?. A. Subscripción de Azure. B. Grupo de Administración. C. Grupo de recursos. D. Ninguna de las anteriores.

¿Qué componentes incorpora Azure Key Vault?. A. Almacenes. B. Secretos. C. Claves. D. Todas las anteriores.

La derivación de requisitos de seguridad se basa en: A. Modelado de amenazas. B. Análisis de riesgos. C. Análisis de seguridad del código fuente. D. La A y la B.

La novedad Virtual Secure Mode es una característica de Windows Server introducida en la versión…. A. 2019. B. 2016. C. 2022. D. Ninguna de las anteriores.

La vulnerabilidad que permite acceder a recursos locales del servidor se denomina: A. XSS. B. REDIRECT. C. LFI. D. Ninguna de las anteriores.

Señalar la afirmación falsa. A. Las herramientas DAST encuentran menos vulnerabilidades que las de tipo SAST. B. Las herramientas de tipo DAST no pueden encontrar ciertos tipos de vulnerabilidades ya que realizan un análisis sintáctico de la aplicación. C. El análisis DAST solo puede testear las partes de la aplicación accesibles externamente. D. Todas las anteriores son falsas.

¿Cuáles de estas medidas han de adoptarse para dotar de seguridad a un identificador de sesión?. A. Tiempo máximo de duración de sesión. B. Tiempo máximo de inactividad. C. Invalidar o eliminar el identificador de sesión cuando el usuario termina la sesión. D. Todas las anteriores son correctas.

¿Qué herramienta se puede utilizar para ataques de fuerza bruta basados en diccionario offline?. A. BRUTUS. B. JOHN THE RIPPER. C. HYDRA. D. FIRESHEEP.

¿Dónde puede ubicarse el ID de sesión?. A. CABECERA SET COOKIE. B. PARÁMETRO GET. C. PARÁMETRO POST. D. TODAS LAS ANTERIORES SON CIERTAS.

Cada servidor recibirá las configuraciones de seguridad a través de directivas de grupo en el nivel de Rol... A. Para cumplir los requisitos comunes de seguridad. B. Para cumplir los requisitos de seguridad específicos del servidor. C. Para cumplir los requisitos de seguridad de los roles específicos del servidor. D. Ninguna de las anteriores.

CWE... A. Definición de un tipo de vulnerabilidad de forma genérica (diccionario). B. Un tipo de ataque. C. Publicación de la existencia de una vulnerabilidad concreta en un software concreto. D. Un proyecto OWASP.

DAC con respecto al servicio de autorización significa: A. Gestión de autorización delegada. B. Gestión de autorización centralizada. C. Gestión de autorización mixta. D. Ninguna de las anteriores.

Defensas de cabecera Set-Cookie... A. TLS. B. PATH. C. HTTPONLY. D. TODAS LAS ANTERIORES.

KERBEROS usa... A. Token. B. Ticket. C. Assertion. D. Token y Assertion.

Para explotar HTTP RESPONSE SPLITTING hay que usar los caracteres... A. //. B. COMILLA. C. CR LF. D. ./.

¿Cómo se puede implementar el código de autorización?. A. Desarrollo propio como otra función de la aplicación. B. Desarrollo propio con procedimientos almacenados. C. Librerías del framework de desarrollo. D. Todas las anteriores son ciertas.

¿Qué método de autenticación NO es recomendable?. A. DIGEST. B. BASIC. C. NTLM. D. KERBEROS.

¿Qué método HTTP devuelve solo las cabeceras de la respuesta del servidor?. A. POST. B. TRACE. C. HEAD. D. CONNECT.

Los firewalls de aplicaciones web pueden instalarse de forma que inspeccionan pero no bloquean el tráfico. Esta forma de instalación se denomina: A. Modo proxy inverso. B. Modo pasivo. C. Modo bridge. D. Modo embebido.

Autenticación de MÚLTIPLES FACTORES significa utilizar algo que se sabe, algo que se es y... A. NONCE. B. ALGO QUE SE TIENE. C. CONTRASEÑA. D. ASSERTION.

¿Qué método HTTP sirve para saber qué otros métodos implementa el servidor?. A. GET. B. POST. C. OPTIONS. D. TRACE.

¿Cuál de las opciones siguientes se puede utilizar para administrar la gobernanza en varias suscripciones de Azure?. A. Recursos. B. Grupos de recursos. C. Grupos de administración. D. Ninguna de las anteriores.

¿Qué es una definición de roles en Azure?. A. Una colección de permisos con un nombre que se puede asignar a un usuario, grupo o aplicación. B. La colección de usuarios, grupos o aplicaciones que tienen permisos para un rol. C. El enlace de un rol a una entidad de seguridad en un ámbito específico para conceder acceso. D. Todas las anteriores.

¿Qué componentes incorpora Azure Key Vault?. A. Almacenes. B. Secretos. C. Claves. D. Todas las anteriores.

La novedad Virtual Secure Mode es una característica de Windows Server introducida en la versión…. A. 2019. B. 2016. C. 2022. D. Ninguna de las anteriores.

La vulnerabilidad que permite acceder a recursos locales del servidor se denomina: A. XSS. B. REDIRECT. C. LFI. D. Ninguna de las anteriores.

Para explotar HTTP RESPONSE SPLITTING hay que usar los caracteres... A. //. B. COMILLA. C. CR LF. D. ./.

KERBEROS usa... A. Token. B. Ticket. C. Assertion. D. Token y Assertion.

Mejor defensa contra CSRF... A. HTTPONLY. B. TLS. C. CONTRASEÑA. D. TOKEN ANTI-CSRF.

La cabecera de seguridad X-FRAME-OPTIONS... A. Se debe configurar con parámetro TLS. B. Se debe configurar con parámetro DENY. C. Se debe configurar con parámetro HTTPONLY. D. Se debe configurar con parámetro ALL.

¿Qué se recomienda para NONCE en el método de autenticación DIGEST?. A. UN SOLO USO. B. UNA VENTANA DE TIEMPO GRANDE. C. NONCE NO ES NECESARIO. D. NINGUNA DE LAS ANTERIORES.

GOOGLE CHROME tiene una arquitectura... A. MONOLÍTICA. B. MODULAR. C. MIXTA. D. NINGUNA DE LAS ANTERIORES.

Los ataques pueden ser debidos a diversos tipos de vulnerabilidades, en función de la fase... A. Vulnerabilidades de operación, implementación y diseño. B. Vulnerabilidades de operación, implementación y definición. C. Vulnerabilidades de pruebas, implementación y diseño. D. Ninguna de las anteriores.

2. Los firewalls de aplicaciones web pueden instalarse... (sin bloquear). A. Modo proxy inverso. B. Modo pasivo. C. Modo bridge. D. Modo embebido.

Señalar la opción más correcta en cuanto a los firewalls de aplicaciones del tipo proxy inverso: A. Publicar interfaz externa. B. Examina/bloquea y reenvía. C. Duplicado por tap sin bloquear. D. La A y B son correctas.

¿Cómo se llama la cabecera que aloja normalmente el ID de sesión?. A. REFERER. B. AUTENTICATION. C. AUTHORIZATION. D. SET-COOKIE.

Defensas de cabecera Set-cookie... A. TLS. B. PATH. C. HTTPONLY. D. TODAS LAS ANTERIORES.

NTLM... A. Cifra las credenciales en todas las peticiones. B. Codifica las credenciales en todas las peticiones. C. HASH de las credenciales en todas las peticiones. D. Cifra y codifica las credenciales en todas las peticiones.

¿Qué tipo de vulnerabilidad contiene el siguiente fragmento de código? <HTML><TITLE>HOLA!</TITLE>Hi<SCRIPT> var pos=document.URL.indexOf("name=")+5; document.write(document.URL.substring(pos,document.URL.length)); </SCRIPT> Bienvenido al sistema … </HTML>. A. PATH TRAVERSAL. B. SQLI. C. XSS. D. HTTP RESPONSE SPLITTING.

Un administrador quiere asignar un rol para permitir a un usuario crear y administrar recursos de Azure, pero sin poder conceder acceso a otros usuarios. ¿Cuál de los siguientes roles integrados admitiría esta posibilidad?. A. Propietario. B. Colaborador. C. Lector. D. Ninguna de las anteriores.

¿Cuáles de estas medidas han de adoptarse para dotar de seguridad a un identificador de sesión?. A. Tiempo máximo de duración de sesión. B. Tiempo máximo de inactividad. C. Invalidación al cerrar sesión. D. Todas las anteriores son correctas.

Un test funcional de seguridad se lleva a cabo en la fase de …. A. Análisis. B. Desarrollo. C. Despliegue. D. Producción.

Una vulnerabilidad de buffer overflow es del tipo de…. A. Diseño. B. Implementación. C. Operación. D. Planeamiento.

¿Qué tipo de vulnerabilidad contiene el siguiente fragmento de código? <img src="http://url.to.file.which/not.exist" onerror=alert(document.cookie);>. A. PATH TRAVERSAL. B. SQLI. C. XSS. D. HTTP RESPONSE SPLITTING.

La arquitectura AJAX, ¿qué características tiene?. A. Llamadas asíncronas al servidor. B. Usa JavaScript y XML. C. La capa de presentación se genera en el lado cliente. D. Todas las anteriores.

¿Qué método HTTP sirve para saber qué otros métodos implementa el servidor?. A. GET. B. POST. C. OPTIONS. D. TRACE.

Autenticación de MÚLTIPLES FACTORES significa utilizar algo que se sabe, algo que se es y…. A. NONCE. B. ALGO QUE SE TIENE. C. CONTRASEÑA. D. ASSERTION.

7. ¿Cómo se usa NotActions en una definición de roles?. A. NotActions se restan de Actions para definir la lista de operaciones permitidas. B. NotActions se consulta después de Actions para denegar el acceso a una operación específica. C. NotActions permite especificar una única operación que no está permitida. D. Ninguna de las anteriores.

¿Cuál de las siguientes propiedades no se aplica a los grupos de recursos?. A. Los recursos solo pueden incluirse en un grupo de recursos. B. Control de acceso basado en rol. C. Se pueden anidar. D. Ninguna de las anteriores.

¿En qué se basa el servicio de autorización?. A. Roles, recursos y usuarios. B. NONCE. C. Lista de control de acceso (ACL). D. La A y la C son correctas.

¿Cuál es el orden de herencia para el ámbito en Azure?. A. Grupo de administración, grupo de recursos, suscripción, recurso. B. Grupo de administración, suscripción, grupo de recursos, recurso. C. Suscripción, grupo de administración, grupo de recursos, recurso. D. Ninguna de las anteriores.

Respecto a las actividades y buenas prácticas de seguridad en el ciclo de vida de desarrollo seguro de aplicaciones o sistemas, señalar la opción incorrecta: A. Las actividades de seguridad del SSDLC hay que repetirlas a lo largo del ciclo de vida, lo que supone un ciclo continuo. B. Hay que realizar antes las pruebas de penetración que la revisión de código. C. Hay que realizar una derivación de requisitos de seguridad y de casos de abuso. D. Nuevos defectos de implementación de partes que se modifican con arreglo a nuevas especificaciones o cambios en las mismas implica nueva revisión de código y nuevas pruebas de seguridad en operación del sistema.

Señalar la afirmación falsa. A. Las herramientas DAST encuentran menos vulnerabilidades que las de tipo SAST. B. Las herramientas de tipo DAST no pueden encontrar ciertos tipos de vulnerabilidades, ya que realizan un análisis sintáctico de la aplicación. C. El análisis DAST solo puede testear las partes de la aplicación accesibles externamente. D. Todas las anteriores son falsas.

¿Qué herramienta se puede utilizar para ataques de fuerza bruta basados en diccionario offline?. A. BRUTUS. B. JOHN THE RIPPER. C. HYDRA. D. FIRESHEEP.

¿Dónde puede ubicarse el ID de sesión?. A. CABECERA SET-COOKIE. B. PARÁMETRO GET. C. PARÁMETRO POST. D. TODAS LAS ANTERIORES SON CIERTAS.

CWE…. A. Definición de un tipo de vulnerabilidad de forma genérica (diccionario). B. Un tipo de ataque. C. Publicación de la existencia de una vulnerabilidad concreta en un software concreto. D. Un proyecto OWASP.

Defensas de cabecera Set-Cookie…. A. TLS. B. PATH. C. HTTPONLY. D. TODAS LAS ANTERIORES.

La vulnerabilidad que permite ejecutar scripts remotos en el navegador de la víctima se denomina: A. XSS. B. SQLI. C. LFI. D. LDAPI.

La vulnerabilidad que permite inyectar código en el servidor de aplicaciones se denomina: A. XSS. B. SQLI. C. LFI. D. HTTPI.

La vulnerabilidad que permite acceder a recursos locales del servidor se denomina: A. XSS. B. SQLI. C. LFI, XXE. D. HTTPI.

C/C++ son lenguajes seguros: A. CIERTO. B. FALSO. C. DEPENDE DEL COMPILADOR. D. C no, C++ sí.

¿Cuál de estos lenguajes se considera seguro?. A. Java. B. C#. C. Ccure. D. Todos los anteriores.

¿Por qué el lenguaje Java se considera más seguro?. A. Comprueba la longitud de variables en tiempo de ejecución. B. Comprueba la longitud de variables en tiempo de compilación. C. No es considerado seguro. D. Ninguna de las anteriores.

¿Cuál es el primer pilar de la seguridad para las aplicaciones online?. A. Monitorización continua. B. SGSI. C. Política de seguridad. D. SSDLC.

¿Qué es MVC?. A. Una vulnerabilidad. B. Un ataque. C. Un patrón de diseño lógico del código fuente. D. Ninguna de las anteriores.

Un análisis de riesgos…. A. Examina los riesgos intrínsecos de las capas de una aplicación web. B. Examina los riesgos de los activos de una organización. C. Tiene como objetivo determinar controles de seguridad. D. La B y la C.

Un test de penetración se lleva a cabo en la fase de …. A. Análisis. B. Producción. C. Despliegue. D. Desarrollo.

Un test funcional de seguridad se lleva a cabo en la fase de …. A. Análisis. B. Producción. C. Despliegue. D. Desarrollo.

Un análisis de seguridad del código fuente se lleva a cabo en la fase de …. A. Análisis. B. Producción. C. Despliegue. D. Desarrollo.

El modelado de amenazas/casos de abuso se lleva a cabo en la fase de …. A. Análisis. B. Producción. C. Despliegue. D. Desarrollo.

El análisis de seguridad de código fuente es una actividad de…. A. Caja negra. B. Caja blanca. C. Caja gris. D. Caja gris-blanca.

El análisis dinámico es una actividad de…. A. Caja negra. B. Caja blanca. C. Caja gris. D. Todas las anteriores.

La derivación de requisitos de seguridad se basa en …. A. Modelado de amenazas. B. Análisis de riesgos. C. Análisis de seguridad del código fuente. D. La A y la B.

Según el autor Gary MacGraw, la actividad más importante en el SSDLC es: A. Modelado de amenazas. B. Análisis de riesgos. C. Análisis de seguridad del código fuente. D. Test de penetración.

La arquitectura AJAX ¿Qué características tiene?. A. Llamadas asíncronas al servidor. B. Usa JavaScript, XML. C. La capa de presentación se genera en el lado cliente. D. Todas las anteriores.

En AJAX, ¿Cuál es el método que se usa para realizar llamadas al servidor?. A. JSONrequest. B. XMLHTTPREQUEST. C. HTTPREQ. D. HTTPXMLREQUEST.

La vulnerabilidad relacionada con el método TRACE se denomina... A. XSS. B. CSRF. C. XST. D. LFI.

¿Cómo transporta BASIC usuario-contraseña?. A. Cifrados. B. En claro. C. Codificados base-64. D. HASH MD5.

Digest, con respecto al usuario y la contraseña…. A. Los cifra. B. Van en claro. C. Codificados base-64. D. HASH MD5.

Digest usa…. A. Nonce. B. Response. C. HASH. D. Todas las anteriores.

¿Cómo envía NTLM usuario-contraseña?. A. Usa HMAC-MD5. B. AES. C. DES. D. HTTPS.

¿Cómo se llaman los parámetros que calcula NTLM y envía al servidor?. A. nonce, AES. B. ntv2, lmv2. C. blob, timestamp. D. Ninguna de las anteriores.

TLS usa…. A. HASH. B. AES. C. RSA. D. Todas las anteriores.

Problemas con TLS: A. Rendimiento. B. MITM. C. Vulnerabilidades CVE. D. Todas las anteriores.

Kerberos usa…. A. Token. B. Ticket. C. Assertion. D. Nonce.

¿Cuál es la longitud mínima de claves pública-privada en RSA (TLS)?. A. 256. B. 512. C. 1024. D. 2048.

¿Cuál es la longitud mínima de claves recomendada para AES?. A. 256. B. 512. C. 1024. D. 2048.

¿Qué métodos de autenticación se suelen usar en Active Directory?. A. NTLM. B. Kerberos. C. Digest. D. La A y la B.

¿Qué tipo de tickets usa Kerberos para obtener tickets de servicio?. A. TGT. B. TGS. C. TFS. D. AES.

¿Qué tipo de tickets usa Kerberos para acceder al servicio?. A. TGT. B. TGS. C. TFS. D. AES.

¿Cuál es el parámetro en DIGEST que bien implementado evita ataques de repetición?. A. Md5. B. cnonce. C. nonce. D. response.

OAUTH2 usa…. A. Token de acceso servicio. B. Código de autorización. C. La A y la B. D. Ninguna de las anteriores.

¿Qué longitud mínima (bits) se recomienda para un identificador de sesión?. A. 56. B. 128. C. 256. D. 1024.

¿Dónde puede ubicarse el ID de sesión?. A. Cabecera SET-COOKIE. B. Parámetro GET. C. Parámetro POST. D. Reescritura URL. E. Todas las anteriores.

¿Qué parámetro impide acceso a la cabecera SET-COOKIE desde scripts?. A. Secure. B. Path. C. Domain. D. HttpOnly.

¿Cuándo se debe crear el ID de sesión?. A. Antes de la autenticación. B. Después de la autenticación. C. En cualquier momento. D. No es necesario.

Ataques que puede sufrir la autenticación: A. MITM. B. Fuerza Bruta. C. Repetición. . Todos los anteriores.

Ataques que puede sufrir la gestión de sesión: A. MITM. B. Fuerza Bruta. C. Repetición. D. XSS. E. SQLI. F. Ingeniería Social. G. Todos los anteriores.

Una vulnerabilidad de buffer overflow es del tipo de…. A. Diseño. B. Implementación. C. Operación. D. Planeamiento.

La vulnerabilidad que permite acceder a recursos locales del servidor se denomina: A. XSS. B. REDIRECT. C. LFI. D. Ninguna de las anteriores.

Mejor defensa contra CSRF…. A. HTTPONLY. B. TLS. C. CONTRASEÑA. D. TOKEN ANTI-CSRF.

La cabecera de seguridad X-FRAME-OPTIONS…. A. Se debe configurar con parámetro TLS. B. Se debe configurar con parámetro DENY. C. Se debe configurar con parámetro HTTPONLY. D. Se debe configurar con parámetro ALL.

¿Qué se recomienda para NONCE en el método de autenticación DIGEST?. A. UN SOLO USO. B. UNA VENTANA DE TIEMPO GRANDE. C. NONCE NO ES NECESARIO. D. NINGUNA DE LAS ANTERIORES.

GOOGLE CHROME tiene una arquitectura…. A. MONOLÍTICA. B. MODULAR. C. MIXTA. D. NINGUNA DE LAS ANTERIORES.

¿Qué método HTTP devuelve solo las cabeceras de la respuesta del servidor?. A. POST. B. TRACE. C. HEAD. D. CONNECT.

¿Qué método HTTP sirve para saber qué otros métodos implementa el servidor?. A. GET. B. POST. C. OPTIONS. D. TRACE.

Denunciar Test

▲