Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Resultado Cuestionario Seguridad para Plataforma WEB Clase #10

Descargar como pptx, pdf o txt
Descargar como pptx, pdf o txt
Está en la página 1de 18

SEGURIDAD PARA

PLATAFORMA WEB.

Clase N° 10

01 – Octubre - 2024
CONDICIONES FAVORABLES PARA LA CLASE

Mantén todos tus


sentidos activos

Práctica la puntualidad

Mantén tus dispositivos


electrónicos en silencio

Respeta el turno de
participación
PRESENTACIÓN DE LA CLASE
Aprendizaje Esperado:

Implementan módulo de administración de perfiles y módulo de


control de acceso a un sistema informático, según requerimientos.

Criterios de Evaluación:

Identifica prácticas de seguridad en el ciclo de desarrollo de software, relacionados a la


implementación de
administración de perfiles y control de acceso a un sistema informático.

Contenidos:

Criptografía para las claves de usuarios:


Algoritmos de criptografía/ Aplicación de criptografía para las claves de usuario.
MOMENTO PARA RECORDAR
EVALUACIÓN 2 LUNES 7 OCTUBRE.
ACTIVIDAD 10.- CUESTIONARIO EVALUACIÓN 2.-
Alternativas.

1- Un formulario de búsqueda en un sitio web es vulnerable y permite a los vándalos ingresar


código SQL malicioso que revela información de la base de datos. ¿Qué ataque es este?

A) Inyección SQL
B) Secuestro de sesiones
C) Falsificación de solicitudes entre sitios (CSRF)

Retroalimentación: La inyección SQL permite a un atacante ejecutar código SQL no autorizado


en la base de datos de un sitio web, comprometiendo la información.

2.- Un servicio financiero online experimenta una sobrecarga de tráfico que incapacita al
servidor de responder a usuarios legítimos. ¿Qué tipo de ataque puede estar ocurriendo?

A) Envenenamiento de caché
B) Denegación de servicio (DoS)
C) Cross-site Scripting (XSS)

Retroalimentación: Los ataques de denegación de servicio (DoS) buscan saturar los recursos
del servidor para que legítimos usuarios no puedan acceder al servicio.
3.- Un sitio web permite redirecciones basadas en el 'Encabezado de Host' de las solicitudes
HTTP. Un atacante modifica este encabezado, llevando a redirecciones maliciosas. ¿Cuál es el
tipo de ataque realizado?

A) Ataques de encabezado de host HTTP


B) Envenenamiento de caché
C) Inyección de comandos

Retroalimentación: Los ataques de encabezado de host HTTP manipulan el 'Encabezado de


Host' en la solicitud HTTP para redirigir a usuarios a sitios maliciosos.

4.- ¿Cuál de los siguientes no es una característica de seguridad de OAuth 2.0?

A) Uso de tokens de acceso


B) Uso de contraseñas de usuario almacenadas
C) Expiración de tokens

Retroalimentación: OAuth 2.0 no almacena ni utiliza las contraseñas de los usuarios; en su


lugar, emplea tokens de acceso para autorizar aplicaciones.
5.- ¿Cuál de las siguientes situaciones no es un ejemplo de una vulnerabilidad en la lógica
empresarial?

A) Aplicación de descuentos múltiples injustificados


B) Fallas en la autenticación de usuario
C) Manipulación de inventarios para obtener lucro

Retroalimentación: Las fallas de autenticación de usuario son cuestiones de seguridad de


autenticación, no de lógica empresarial.

6.- ¿Cuál es una técnica común para mitigar ataques de denegación de servicio?

A) SQL Injection
B) Balanceo de carga
C) Cross-site Scripting (XSS)

Retroalimentación: El balanceo de carga distribuye la carga de trabajo entre múltiples


servidores, ayudando a mitigar el efecto de los ataques de denegación de servicio.
7.- Dentro del Proyecto Abierto de Seguridad en Aplicación Web OWASP, ¿cuál es una de las
principales herramientas recomendadas para evaluar la seguridad de una aplicación web?

A) OWASP Top Ten


B) SQLMap
C) Nessus

Retroalimentación: La OWASP Top Ten es una lista de los 10 riesgos de seguridad más críticos
para aplicaciones web, que sirve como punto de partida para evaluar y mejorar la seguridad.

8.- Una startup está configurando sus servidores y necesita asegurar las comunicaciones en su
plataforma web.
¿Qué tipo de organización emite certificados digitales para asegurar las comunicaciones en
línea?

A) Controladores de Dominio
B) Autoridades de Certificación (CA)
C) Proveedores de Servicios de Internet (ISP)

Retroalimentación: Las Autoridades de Certificación (CA) son entidades que emiten


certificados digitales, confirmando la identidad del poseedor del certificado.
9.- Tu equipo de seguridad necesita verificar la validez de los certificados digitales utilizados
para la autenticación de servicios.
¿Qué entidades son responsables de validar estos certificados?

A) Autoridades de Certificación (CA)


B) Autoridades de Validación (VA)
C) Administradores de Redes

Retroalimentación: Las Autoridades de Validación (VA) se encargan de verificar la validez de


los certificados digitales y asegurar que son confiables.

10.- Una plataforma de pago necesita asegurar la identidad de sus usuarios a través de
certificados digitales.
¿Qué entidad registra y proporciona estos certificados digitales?

A) Autoridades de Registro (RA)


B) Firewalls
C) Proveedores de Hosting
Retroalimentación: Las Autoridades de Registro (RA) son responsables del registro de
usuarios y de la emisión de certificados digitales bajo la autoridad de una CA.
11.- Una organización necesita asegurar las comunicaciones de su aplicación web a través de
protocolos seguros.
¿Cuál de los siguientes protocolos es utilizado para asegurar las comunicaciones HTTP?

A) FTP
B) HTTPS
C) SFTP

Retroalimentación: HTTPS (Hypertext Transfer Protocol Secure) asegura la comunicación HTTP


mediante el uso de SSL/TLS, protegiendo la transferencia de datos contra interceptación.

12.- Una compañía de software está desarrollando una aplicación y desea seguir las mejores prácticas
de seguridad de OWASP.
¿Cuál es una herramienta interactiva recomendada por OWASP para aprender sobre vulnerabilidades
en aplicaciones web?
A) Metasploit
B) Kali Linux
C) OWASP Juice Shop

Retroalimentación: OWASP Juice Shop es una plataforma deliberadamente vulnerable que permite a
los desarrolladores aprender sobre seguridad web mediante la explotación y resolución de problemas
de seguridad.
13.- Una plataforma de salud almacena datos personales y médicos de los usuarios. Un ataque
reciente ha revelado información sensible de varios pacientes.
¿Cómo se puede minimizar el riesgo de exposición de datos sensibles?

a) Almacenar los datos en texto plano para facilitar el acceso.


b) Encriptar los datos sensibles tanto en tránsito como en reposo.
c) Hacer copias de seguridad regulares sin encriptar.

Retroalimentación: La encriptación protege los datos sensibles de accesos no autorizados y asegura que
estos datos permanecen seguros durante la transferencia y almacenamiento.

14.- Una red social ha detectado intentos de intrusión en su sistema provenientes de direcciones IP
desconocidas.
¿Cuál es una medida eficaz para prevenir estas intrusiones?

a) Bloquear manualmente cada dirección IP.


b) Cambiar las contraseñas de todos los usuarios cada mes.
c) Implementar un firewall y un sistema de detección de intrusiones (IDS).

Retroalimentación: Un firewall junto con un IDS puede detectar y bloquear intentos de intrusión en tiempo
real, protegiendo el sistema contra accesos no autorizados.
15.- Una empresa permite acceso a ciertos documentos confidenciales a través de su
plataforma web solo a empleados autorizados. Se ha observado un acceso no autorizado a
estos documentos.

¿Cuál es la mejor manera de verificar y controlar el acceso a estos recursos?

a) Permitir acceso solamente durante las horas laborales.


b) Utilizar permisos basados en roles y registros de auditoría para rastrear acceso.
c) Encriptar los documentos y solo dar la contraseña a los gerentes.

Retroalimentación:
Los permisos basados en roles aseguran que solo los empleados autorizados pueden acceder
a los documentos, y los registros de auditoría permiten rastrear y revisar cualquier acceso no
autorizado.
VOF

1.- La capa de transporte (Capa 4 del modelo OSI) garantiza la transmisión de datos libre de
errores. V

2.- SQL Injection permite a los atacantes ejecutar comandos SQL maliciosos en la base de
datos, lo que puede llevar a la manipulación o robo de datos. V

3.- Usar SSL/TLS cifra las comunicaciones, asegurando que los datos transmitidos no sean
interceptados o manipulados. V

4.- Las pruebas de caja blanca se realizan sin entender el diseño o la implementación interna
de la aplicación. F caja negra.

5.- El principio de mínimo privilegio establece que los usuarios solo deben tener los permisos
estrictamente necesarios para realizar sus funciones. V

6.- La fase de mantenimiento SDLC se enfoca en corregir errores y realizar mejoras al


software una vez que está en operación. V

7.- Pruebas de Caja Blanca: Los evaluadores tienen acceso completo a la infraestructura y al
código fuente, lo que permite un análisis más detallado y exhaustivo. V
8.- El SDLC (Ciclo de Vida de Desarrollo de Software) V

9.- La 1 era Fase SDLC, es el Diseño. F requisito o requerimiento.

10.- La fase 7 SDLC, mantenimiento, se refiere actualizar y parchear el software regularmente


para resolver nuevas incidencias de seguridad. V

11.- OWASP ZAP Herramienta que permite Escaneo de vulnerabilidades en la aplicación y la


infraestructura. V

12.- La 3 era capa del modelo OSI es la capa de red. V

13.- El XSS es una de las vulnerabilidades más comunes y peligrosas en aplicaciones web.
Este tipo de ataque ocurre cuando un atacante es capaz de inyectar scripts maliciosos en
contenido que se envía a un usuario. V

14.- ASLR es una técnica de seguridad que busca prevenir ciertos tipos de exploits al
randomizar las ubicaciones utilizadas por el sistema de archivos ejecutables, incluidos los
stack, heap y librerías. V
15.- Pruebas Externas, Se realizan desde dentro de la red de la organización para identificar
potenciales vulnerabilidades internas. F, esas son las pruebas internas.

16.- Pruebas Externas, Evalúan la seguridad desde la perspectiva de un atacante externo sin
acceso inicial. V

17.- Una Autoridad de Certificación (CA) es una entidad confiable que emite certificados
digitales. V

18.- HTTPS (Hypertext Transfer Protocol Secure) es esencialmente HTTP sobre SSL/TLS. Este
protocolo garantiza que la comunicación entre el navegador del usuario y el servidor web sea
segura. V

19.- SSL (Secure Sockets Layer) y TLS (Transport Layer Security), Herramientas de monitoreo
de red. F, son protocolos criptográficos diseñados para proporcionar comunicaciones
seguras a través de redes.

20.- Los ataques de denegación de servicio (DoS) buscan sobrecargar los recursos de un
sistema para impedir el acceso legítimo a los usuarios. V
MUCHAS GRACIAS

También podría gustarte