SSABD-A-OR-22

Respecto a las actividades y buenas prácticas de seguridad en el ciclo de vida de desarrollo seguro de aplicaciones o sistemas, señalar la opción incorrecta: A. Las actividades de seguridad del SSDLC hay que repetirlas a lo largo del ciclo de vida lo que supone un ciclo continuo. B. Hay que realizar antes las pruebas de penetración que la revisión de código. C. Hay que realizar una derivación de requisitos de seguridad y de casos de abuso. D. Nuevos defectos de implementación de partes que se modifican con arreglo a nuevas especificaciones o cambios en las mismas implica nueva revisión de código y nuevas pruebas de seguridad en operación del sistema.

Señalar la afirmación falsa. A. Las herramientas DAST encuentran menos vulnerabilidades que las de tipo SAST. B. Las herramientas de tipo DAST no pueden encontrar ciertos tipos vulnerabilidades ya que realizan un análisis sintáctico de la aplicación. C. El análisis DAST solo puede testear las partes de la aplicación accesibles externamente. D. Todas las anteriores son falsas.

¿Cuáles de estas medidas han de adoptarse para dotar de seguridad a un identificador de sesión?. A. Tiempo máximo de duración de sesión. B. Tiempo máximo de inactividad. C. Invalidar o eliminar el identificador de sesión cuando el usuario termina la sesión. D. Todas las anteriores son correctas.

¿Qué herramienta se puede utilizar para ataques de fuerza bruta basados en diccionario offline?. A. BRUTUS. B. JOHN THE RIPPER. C. HYDRA. D. FIRESHEEP.

¿Dónde puede ubicarse el ID de sesión?. A. CABECERA SET COOKIE. B. PARÁMETRO GET. C. PARÁMETRO POST. D. Todas las anteriores son ciertas.

Cada servidor recibirá las configuraciones de seguridad a través de directivas de grupo en el nivel de Referencia: A. Para cumplir los requisitos comunes de seguridad. B. Para cumplir los requisitos de seguridad específicos del servidor. C. Para cumplir los requisitos de seguridad de los roles específicos del servidor. D. Ninguna de las anteriores.

Cada servidor recibirá las configuraciones de seguridad a través de directivas de grupo en el nivel de Rol... A. Para cumplir los requisitos comunes de seguridad. B. Para cumplir los requisitos de seguridad específicos del servidor. C. Para cumplir los requisitos de seguridad de los roles específicos del servidor. D. Ninguna de las anteriores.

CWE... A. Definición de un tipo de vulnerabilidad de forma genérica (diccionario). B. Un tipo de ataque. C. Publicación de la existencia de una vulnerabilidad concreta en un software concreto. D. Un proyecto OWASP.

DAC con respecto al servicio de autorización significa: A. Gestión de autorización delegada. B. Gestión de autorización centralizada. C. Gestión de autorización mixta. D. Ninguna de las anteriores.

Defensas de cabecera Set-Cookie... A. TLS. B. PATH. C. HTTPONLY. D. Todas las anteriores.

Explicar la política del mismo origen y JSONP, XSS y CSRF, ejemplos de explotación, medidas de mitigación.

Cabeceras de seguridad para protección del protocolo HTTP y las aplicaciones web. Concepto.

Ejemplo de una petición HTTP que incluya las principales cabeceras de seguridad, parámetros y sus valores.

Protocolo CORS, explicar como funciona con un ejemplo sencillo.

Explicar el proceso de implantación de las plantillas de seguridad del CCN para el ENS categoría básica en un dominio mediante Windows Active Directory en Windows server 2016 (controlador de dominio) y clientes Windows 10 Enterprise.