o

Test Tema 1-SEGURIDAD EN APLICACIONES ONLINE Y BASES DE DATOS

Tu resultado:10sobre10
Acertadas: 10 - Falladas: 0
Resultado medio del grupo
1. Cules son los objetivos de seguridad de los Sistemas TIC?
No repudio, funcionamiento correcto, trazabilidad, confidencialidad, disponibilidad, integridad.
No repudio, trazabilidad, autenticacin, autorizacin y control de acceso, confidencialidad,

disponibilidad, integridad.
No repudio, autenticacin, autorizacin y control de acceso, confidencialidad, disponibilidad,
integridad.

A y B son correctas.

2. Cules son los tipos de vulnerabilidades que un sistema puede tener?

Calidad, diseo, operacin.

Calidad, implementacin, diseo.

Diseo, implementacin, operacin.

Ninguna de las anteriores.

3. Seala la afirmacin correcta.

Con CGI, El ciclo escritura compilacin implementacin ejecucin es ms rpido que en la

mayora de las tecnologas ms recientes (pero no demasiado).

La mayora de los lenguajes de script no se encuentran slidamente tipificados y no promueven

buenas prcticas de programacin.

Entre los marcos de lenguajes de script se incluyen .NET y J2EE.

Todas las anteriores son falsas.

4. Seala la afirmacin correcta.

C#, Java, Python, Ruby o dialectos de C como CCured y Cyclone son lenguajes que fuerzan la
comprobacin de tipos y de memoria de forma que su gestin sea segura.
C y C++ son lenguajes seguros y ampliamente utilizados.

Con lenguajes de programacin seguros el programador no ha de preocuparse.

Todas las anteriores son falsas.

5. Seala la afirmacin falsa.

La seguridad de una aplicacin debe aplicarse a todas las capas de la misma.

Las capas de una aplicacin web son: cliente-presentacin-aplicacin-persistencia (Base de datos).

El patrn de diseo MVC tiene tres capas: vista-controlador-modelo.

Todas las anteriores son falsas.

6. Seala la afirmacin falsa.

AJAX, JSON son tecnologa WEB 2.0.

La comunicacin entre el motor AJAX y el servidor de aplicaciones es sncrona.

Los principios de diseo de las aplicaciones distribuidas basadas en servicios web tienen su origen en

o
o

lo que se denomina Arquitectura Orientada a Servicios.

UDDI proporciona un medio para publicar y localizar servicios web.

7. Seala la afirmacin falsa.

Un Sistema Gestor de Bases de Datos es coleccin de datos relacionados entre s, estructurados y
organizados, y un conjunto de programas que acceden y gestionan esos datos.
En un SGBD: el nivel externo representa la visin individual de un usuario o de un grupo de usuarios.
Los SGBD no ofrecen mecanismos para implantar restricciones de integridad en la BD. Estas
restricciones protegeran la BD contra daos accidentales.
Los SGBDs proporcionan herramientas y mecanismos para la planificacin y realizacin de copias de
seguridad y restauracin.

8. Respecto a un directorio LDAP seala la afirmacin falsa:

LDAP permite delegar con seguridad la lectura y modificacin basada en autorizaciones segn tus

necesidades utilizando ACLs.

LDAP es particularmente utilizable para almacenar informacin que se desee leer desde muchas

localizaciones, pero que no sea actualizada frecuentemente.

Se puede utilizar para almacenar certificados pblicos y claves de seguridad

Todas las anteriores son falsas.

9. Seala la opcin incorrecta en cuanto a los problemas de seguridad en las Aplicaciones Web.
Tienen problemas relacionados con el protocolo HTTP de comunicacin.

Tienen problemas de validacin de la entrada en el cdigo del lado del servidor.

No es necesaria la validacin de la salida en el cdigo del lado del servidor.

El protocolo HTTP, no fue diseado para aplicaciones y seguramente tampoco para usos seguros.

10. Respecto a las actividades y buenas prcticas de seguridad en el ciclo de vida de desarrollo seguro de
aplicaciones o sistemas, seala la opcin incorrecta:
Las actividades de seguridad del SSDLC hay que repetirlas a lo largo del ciclo de vida lo que supone
un ciclo continuo.

Hay que realizar antes las pruebas de penetracin que la revisin de cdigo.

Hay que realizar una derivacin de requisitos de seguridad y de casos de abuso.

Nuevos defectos de implementacin de partes que se modifican con arreglo a nuevas

especificaciones o cambios en las mismas implica nueva revisin de cdigo y nuevas pruebas de seguridad en operacin del
sistema.

Test Tema 2-SEGURIDAD EN APLICACIONES ONLINE Y BASES DE DATOS

Tu resultado:10sobre10
Acertadas: 10 - Falladas: 0
Resultado medio del grupo
1. Cules son los principios de seguridad en los que debe basarse toda poltica de seguridad?
Profundidad en la defensa, mnimos privilegios, diversidad de la defensa, gestin centralizada,

sofisticacin, identificacin de puntos dbiles, cierre completo de accesos ante incidentes.

Profundidad en la defensa, mnimos privilegios, diversidad de la defensa, gestin delegada en niveles,

simplicidad, identificacin de puntos dbiles, cierre completo de accesos ante incidentes.

Profundidad en la defensa, mnimos privilegios, diversidad de la defensa, gestin centralizada,

simplicidad, identificacin de puntos dbiles, cierre completo de accesos ante incidentes.

A y B son correctas.

2. Seala las afirmaciones correctas en cuanto a herramientas de anlisis de la seguridad SAST.

Las herramientas SAST no cubren todo en cdigo de la aplicacin.

Las herramientas SAST tienen falsos negativos y falsos positivos.

Las herramientas SAST pueden analizar tanto cdigo fuente y tambin las hay disponibles para cdigo
ejecutable.

Todas las anteriores son falsas.

3. Seala la afirmacin falsa.

Las herramientas DASD encuentran menos vulnerabilidades que las de tipo SAST.
Las herramientas de tipo DASD no pueden encontrar ciertos tipos de vulnerabilidades ya que realizan

un anlisis sintctico de la aplicacin.

El anlisis DASD solo puede testear las partes de la aplicacin accesibles externamente.
Todas las anteriores son falsas.

4. Seala la afirmacin falsa.

Las herramientas de anlisis de tipo RAST no suelen tener falsos positivos.

Las herramientas RAST se pueden utilizar como firewalls de aplicaciones web de tipo software.

Las herramientas de tipo RAST normalmente no tienen impacto en el rendimiento.

Las herramientas RAST pueden detectar nicamente, bloquear o sanear la peticin.

5. Seala la afirmacin falsa.

Los mtodos de autenticacin ms seguros son aquellos basados en: hardware tokens, one-time

passwords, biometric authentication, and SSL/TLS client certificates

Los mtodos de autenticacin basados en passwords y digest son dbiles.

AES 256 es menos seguro que T-DES.

SSL-TLS posibilita autenticacin de servidor y de cliente.

6. HTTP y procedencia de las peticiones, seala la afirmacin falsa:

Una aplicacin Web que usa cookies de sesin debe tomar precauciones especiales para asegurar
que un atacante no pueda engaar a usuarios enviando falsas peticiones.
Las aplicaciones que pasan el identificador de sesin en la URL y no un cookie, no tienen este
problema.

Todas las dems son falsas.

Para las aplicaciones que usan cookies de sesin, el formulario debe incluir alguna informacin para
que formulario de back-end pueda validar la procedencia de la peticin.

7. La validacin de entradas y salidas de la aplicacin es un requisito. Seala las afirmaciones correctas:

Los datos enviados por medio del URL, lo cual se desaconseja enrgicamente, pueden ser
codificados y descodificados. Esto reduce la posibilidad de ataques del tipo cross-site-scripting.

Es ms aconsejable utilizar tcnicas de validacin de whitelisting (buenos conocidos) que de

blacklisting (malos conocidos).

El solo rechazo de los actuales malos conocidos es suficiente si la entrada es una cadena de
caracteres.

Siempre que codifique para una tecnologa en particular, se debera determinar qu caracteres son
especiales y prevenir que aparezcan en las entradas de datos o tratarlos adecuadamente.

8. Respecto a las variantes de instalacin de los firewalls de aplicaciones web, seala las afirmaciones correctas:
La configuracin en modo proxy inverso es la menos deseable.

Se debe proporcionar redundancia en la configuracin con DOS WAF.

Pueden efectuar validaciones de tipo whitelist, blacklist o una combinacin de ambos tipos.

Blacklist, consiste en mantener una base de datos de firmas de ataques mientras que whitelist
consiste en tener un modelo de trfico aceptado entre la aplicacin y el cliente.

9. Los servicios web son un ejemplo de la arquitectura orientada a servicios SOA. Cules son las entidades que
intervienen en una arquitectura ms bsica?
CONSUMER-PROVIDER.

PROVIDER-CONSUMER-UDDI.

CONSUMER-BROKER-PROVIDER.

A y B son correctas.

10. En qu se basa la comunicacin CONSUMER-PROVIDER ?

SOAP.

HTTP.

XML.

Todas las anteriores.

Test Tema 3-SEGURIDAD EN APLICACIONES ONLINE Y BASES DE DATOS

Tu resultado:10sobre10
Acertadas: 10 - Falladas: 0
Resultado medio del grupo
1. Seala elementos de seguridad de los servicios web.

Autorizacin, no repudio, propiedades de seguridad, integridad.

Autorizacin, no repudio, confidencialidad, autenticacin, integridad.

Autorizacin, no repudio, propiedades de seguridad, autenticacin.

Ninguna de las anteriores.

2. Seala las afirmaciones correctas en cuanto a herramientas de anlisis de la seguridad SAST.

IPSEC es un protocolo de seguridad de la capa de red.

SSL es un protocolo de seguridad de la capa de transporte.

SOAP es un protocolo de seguridad.

Todas las anteriores son falsas.

3. Seala la afirmacin falsa.

XACML es un mecanismo de seguridad para control de acceso.

SAML es un mecanismo de seguridad para control de acceso.

IPSEC es un protocolo de seguridad de la capa de transporte.

La A y la B son correctas.

4. Seala la afirmacin falsa.

Los servicios web pueden tener casi los mismos tipos de vulnerabilidades que tienen las aplicaciones
web.

Los servicios web pueden sufrir ataques XSS, SQLI, XML INJECTION entre otros.

Se pueden utilizar herramientas de tipo DASD o SAST para testear la seguridad de los servicios web.

Los servicios web no pueden tener ataques de ESCALADA DE PRIVILEGIOS.

5. Seala la afirmacin falsa.

WS-Security message es un mecanismo de seguridad usado para proporcionar un mecanismo seguro

de autenticacin en los servicios web.

Los mtodos de autenticacin que se utilizan en los servicios web se basan en HTTP-based token

authentication, SSL/TLS-certificate based authentication y - mediante tokens en la peticin SOAP.

En encadenamiento de peticiones, en escenarios donde un proveedor de servicio reencamina la
peticin a un tercer servicio, el servicio puede usar mecanismos de autenticacin como SAML assertion.

Un Sistema de Gestin de Identidad (IDMS), es responsable de verificar la identidad de las entidades,

registrarlas y asignar identificadores digitales.

6. Autorizacin en los SW, seala la afirmacin falsa:

SAML y XACML son dos de las especificaciones que se pueden utilizar para implementacin de los
modelos de gestin de la autorizacin.
Las relaciones de confianza y la concesin de privilegios son dos conceptos sinnimos.
El principio de mnimos privilegios debe aplicarse siempre independientemente de la metodologa de

control de acceso en uso.

Role-Based Access Control es uno de los modelo de gestin de la autorizacin.

7. Para tener confidencialidad e integridad en servicios web. Seala la afirmacin falsa:

Los protocolos de transporte seguros pueden asegurar la seguridad de los mensajes solo durante la
transmisin.

Es importante hacer frente a los problemas de seguridad en la capa de aplicacin de forma

independientemente de las capas de transporte.

En situaciones en las que se almacenan los mensajes y luego son remitidos, es necesaria seguridad

de la capa de aplicacin.
Incluye tanto la seguridad de sesin / nivel de transporte (es decir, SSL / TLS), as como la seguridad
a nivel de aplicacin, como la proporcionada a travs de WS-Message.

8. Respecto a la evaluacin de la seguridad de los servicios web, seala las afirmaciones correctas:
Para llevar a cabo la evaluacin de la seguridad en el mbito de servicios web se debe incluir en el
Ciclo de Vida de Desarrollo Seguro la planificacin de todas las actividades y pruebas o test de seguridad.
Checkmarx y Codesecure son dos herramientas de tipo DASD.

Klocwork Insight y HP source code analyzer son herramientas de tipo SAST.

Ninguna de las anteriores.

9. SQL injection, seala las afirmaciones correctas:

Pueden ser debidos a campos de entrada sin validar en las aplicaciones web.

Se pueden evitar algunos ataques aplicando parches en el SGBD.

Un exploit SQL injection no puede estar almacenado en una base de datos.

A, B y C son correctas.

10. Sobre las amenazas a que estn expuestos los SGBD,s, seala las opciones correctas.
No pueden sufrir ataques XSS.

Los ataques de denegacin de servicio pueden ser muy perjudiciales.

Los ataques SQL injection son frecuentes.

A y C son correctas.

Test Tema 4-SEGURIDAD EN APLICACIONES ONLINE Y BASES DE DATOS

Tu resultado:9sobre9
Acertadas: 9 - Falladas: 0
Resultado medio del grupo

1. Seala los elementos o funciones de seguridad de los SGBD,s segn la gua de implementacin de la seguridad
en SGBD,s DISA.
Autorizacin, no repudio, propiedades de seguridad, integridad.

Autorizacin, confidencialidad, autenticacin, integridad, auditora, backup y recuperacin.

Autorizacin, no repudio, propiedades de seguridad, autenticacin.

Ninguna de las anteriores.

2. Qu opcin de instalacin de un SGBD base de datos proporciona una alta disponibilidad de los datos,
proporcionando acceso instantneo a bases de datos duplicadas en caso de fallo en el acceso a una base de datos principal.
IPSEC.

Bases de datos distribuidas.

Clustering.

Todas las anteriores son falsas.

3. Seala la afirmacin falsa.

Cuando una aplicacin utiliza privilegios elevados para acceder a una base de datos, la totalidad de la

base de datos est en riesgo.

Las cuentas de usuario de instalacin y mantenimiento de un SGBD no tienen porqu ser dedicadas

para tal uso y pueden usarse para otras tareas sin que por ello puedan ocurrir ms problemas de seguridad.
Si en una aplicacin no existe validacin de entrada la base de datos puede ser comprometida.
La A y la C son correctas.

4. Seala la afirmacin falsa respecto backups y recuperacin.

Los procedimientos de backup y recuperacin son necesarios para asegurar la integridad y
disponibilidad.
Los datos de las copia de seguridad contendrn todos los datos sensibles almacenados en la base de

o
datos.

Las bases de datos han de observar estricta atencin al tiempo de ejecucin de eventos para

o
preservar la integridad.
o

Todas las anteriores son falsas.

5. Seala la afirmacin falsa respecto a la funcin de auditora.

Las conexiones a las bases de datos son lo primero a auditar.
En pocos casos, la capacidad de generacin automatizada de informes, ya sea proporcionado por una

herramienta externa o procedimientos de base de datos local, se deben considerar para notificacin automtica de
actividades sospechosas.
Herramientas automticas se pueden emplear para ayudar en la tarea de examinar los datos de
auditora.

Es necesario auditar los accesos privilegiados incluyendo actividades de administracin.

6. Autenticacin en bases de datos, seala la opcin falsa:

Cuenta de aplicacin: una cuenta de aplicacin es una cuenta de usuario especializado y es accedida

por otros usuarios interactivos. Es utilizada por una aplicacin, servicio o trabajo BACH.
Operator database: a este tipo de usuario de base de datos se le pueden asignar privilegios

administrativos limitados para funciones como copia de seguridad y puesta en marcha de bases de datos.
La autenticacin de la base de datos se puede producir mediante una relacin de confianza definida

entre el SGBD y un servicio de autenticacin externo.

El DBA tiene todos los privilegios a todos los objetos y recursos en la base de datos y puede
administrar todos los usuarios en la base de datos.

7. Autorizacin en bases de datos. Seala la afirmacin falsa:

El usuario DBA tiene de forma predeterminada en la mayora de las instalaciones todos los privilegios

a todos los objetos almacenados en la base de datos, para configurar y utilizar la base de datos y para crear y administrar
cuentas de usuario.
El privilegio del propietario de un objeto para definir el acceso a los objetos de su propiedad se conoce

como control de acceso discrecional (DAC) y es el mtodo de control de acceso ms comn en los SGBD ms populares.
Las implementaciones de control de acceso menos seguras restringen a los usuarios a ejecutar

solamente accesos con privilegios a procedimientos almacenados, donde los privilegios asignados permiten acceder a los
datos de una manera especfica y limitada.
Las cuentas de usuario de aplicacin de base de datos requieren mnimos privilegios de todos los
tipos de cuentas de base de datos para trabajar con una base de datos.

8. Respecto a la replicacin en bases de datos y sobre consideraciones adicionales para la configuracin de la

seguridad en el uso de enlaces de base de datos, seala la opcin falsa:
Por lo general, es mejor utilizar una sola cuenta de replicacin entre todas las bases de datos
participantes.
Sin embargo, cuentas de replicacin distintas deben utilizarse cuando los requisitos de replicacin no

o
se superponen.
o

Todas las dems son falsas.

Cuando una base de datos replica datos a una base de datos y otros datos distintos a otra base de

datos, dos cuentas distintas puede ser ms seguro.

En tal caso, cuentas distintas proporcionaran una separacin de la responsabilidad y su auditora es
mejora.

9. Cules son los objetivos de seguridad de los Sistemas TIC?

No repudio, funcionamiento correcto, trazabilidad, confidencialidad, disponibilidad, integridad.
No repudio, trazabilidad, autenticacin, autorizacin y control de acceso, confidencialidad,

disponibilidad, integridad.
No repudio, autenticacin, autorizacin y control de acceso, confidencialidad, disponibilidad,
integridad.

A y B son correctas.