Resultado Cuestionario Seguridad para Plataforma WEB Clase #10
Resultado Cuestionario Seguridad para Plataforma WEB Clase #10
Resultado Cuestionario Seguridad para Plataforma WEB Clase #10
PLATAFORMA WEB.
Clase N° 10
01 – Octubre - 2024
CONDICIONES FAVORABLES PARA LA CLASE
Práctica la puntualidad
Respeta el turno de
participación
PRESENTACIÓN DE LA CLASE
Aprendizaje Esperado:
Criterios de Evaluación:
Contenidos:
A) Inyección SQL
B) Secuestro de sesiones
C) Falsificación de solicitudes entre sitios (CSRF)
2.- Un servicio financiero online experimenta una sobrecarga de tráfico que incapacita al
servidor de responder a usuarios legítimos. ¿Qué tipo de ataque puede estar ocurriendo?
A) Envenenamiento de caché
B) Denegación de servicio (DoS)
C) Cross-site Scripting (XSS)
Retroalimentación: Los ataques de denegación de servicio (DoS) buscan saturar los recursos
del servidor para que legítimos usuarios no puedan acceder al servicio.
3.- Un sitio web permite redirecciones basadas en el 'Encabezado de Host' de las solicitudes
HTTP. Un atacante modifica este encabezado, llevando a redirecciones maliciosas. ¿Cuál es el
tipo de ataque realizado?
6.- ¿Cuál es una técnica común para mitigar ataques de denegación de servicio?
A) SQL Injection
B) Balanceo de carga
C) Cross-site Scripting (XSS)
Retroalimentación: La OWASP Top Ten es una lista de los 10 riesgos de seguridad más críticos
para aplicaciones web, que sirve como punto de partida para evaluar y mejorar la seguridad.
8.- Una startup está configurando sus servidores y necesita asegurar las comunicaciones en su
plataforma web.
¿Qué tipo de organización emite certificados digitales para asegurar las comunicaciones en
línea?
A) Controladores de Dominio
B) Autoridades de Certificación (CA)
C) Proveedores de Servicios de Internet (ISP)
10.- Una plataforma de pago necesita asegurar la identidad de sus usuarios a través de
certificados digitales.
¿Qué entidad registra y proporciona estos certificados digitales?
A) FTP
B) HTTPS
C) SFTP
12.- Una compañía de software está desarrollando una aplicación y desea seguir las mejores prácticas
de seguridad de OWASP.
¿Cuál es una herramienta interactiva recomendada por OWASP para aprender sobre vulnerabilidades
en aplicaciones web?
A) Metasploit
B) Kali Linux
C) OWASP Juice Shop
Retroalimentación: OWASP Juice Shop es una plataforma deliberadamente vulnerable que permite a
los desarrolladores aprender sobre seguridad web mediante la explotación y resolución de problemas
de seguridad.
13.- Una plataforma de salud almacena datos personales y médicos de los usuarios. Un ataque
reciente ha revelado información sensible de varios pacientes.
¿Cómo se puede minimizar el riesgo de exposición de datos sensibles?
Retroalimentación: La encriptación protege los datos sensibles de accesos no autorizados y asegura que
estos datos permanecen seguros durante la transferencia y almacenamiento.
14.- Una red social ha detectado intentos de intrusión en su sistema provenientes de direcciones IP
desconocidas.
¿Cuál es una medida eficaz para prevenir estas intrusiones?
Retroalimentación: Un firewall junto con un IDS puede detectar y bloquear intentos de intrusión en tiempo
real, protegiendo el sistema contra accesos no autorizados.
15.- Una empresa permite acceso a ciertos documentos confidenciales a través de su
plataforma web solo a empleados autorizados. Se ha observado un acceso no autorizado a
estos documentos.
Retroalimentación:
Los permisos basados en roles aseguran que solo los empleados autorizados pueden acceder
a los documentos, y los registros de auditoría permiten rastrear y revisar cualquier acceso no
autorizado.
VOF
1.- La capa de transporte (Capa 4 del modelo OSI) garantiza la transmisión de datos libre de
errores. V
2.- SQL Injection permite a los atacantes ejecutar comandos SQL maliciosos en la base de
datos, lo que puede llevar a la manipulación o robo de datos. V
3.- Usar SSL/TLS cifra las comunicaciones, asegurando que los datos transmitidos no sean
interceptados o manipulados. V
4.- Las pruebas de caja blanca se realizan sin entender el diseño o la implementación interna
de la aplicación. F caja negra.
5.- El principio de mínimo privilegio establece que los usuarios solo deben tener los permisos
estrictamente necesarios para realizar sus funciones. V
7.- Pruebas de Caja Blanca: Los evaluadores tienen acceso completo a la infraestructura y al
código fuente, lo que permite un análisis más detallado y exhaustivo. V
8.- El SDLC (Ciclo de Vida de Desarrollo de Software) V
13.- El XSS es una de las vulnerabilidades más comunes y peligrosas en aplicaciones web.
Este tipo de ataque ocurre cuando un atacante es capaz de inyectar scripts maliciosos en
contenido que se envía a un usuario. V
14.- ASLR es una técnica de seguridad que busca prevenir ciertos tipos de exploits al
randomizar las ubicaciones utilizadas por el sistema de archivos ejecutables, incluidos los
stack, heap y librerías. V
15.- Pruebas Externas, Se realizan desde dentro de la red de la organización para identificar
potenciales vulnerabilidades internas. F, esas son las pruebas internas.
16.- Pruebas Externas, Evalúan la seguridad desde la perspectiva de un atacante externo sin
acceso inicial. V
17.- Una Autoridad de Certificación (CA) es una entidad confiable que emite certificados
digitales. V
18.- HTTPS (Hypertext Transfer Protocol Secure) es esencialmente HTTP sobre SSL/TLS. Este
protocolo garantiza que la comunicación entre el navegador del usuario y el servidor web sea
segura. V
19.- SSL (Secure Sockets Layer) y TLS (Transport Layer Security), Herramientas de monitoreo
de red. F, son protocolos criptográficos diseñados para proporcionar comunicaciones
seguras a través de redes.
20.- Los ataques de denegación de servicio (DoS) buscan sobrecargar los recursos de un
sistema para impedir el acceso legítimo a los usuarios. V
MUCHAS GRACIAS