Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 238 vistas

    Examen 1 Download

    Cargado por

    stokely.sohaib
    Este documento contiene un examen para la asignatura de Seguridad en Sistemas, Aplicaciones y el Big Data del Máster Universitario en Ciberseguridad de la UNIR. El examen consta de preguntas tipo test con una única respuesta correcta y preguntas de desarrollo que requieren una explicación más extensa. Se proporcionan instrucciones generales sobre la duración, idioma y calificación del examen.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Examen 1 Download

    Cargado por

    stokely.sohaib
    238 vistas7 páginas
    Este documento contiene un examen para la asignatura de Seguridad en Sistemas, Aplicaciones y el Big Data del Máster Universitario en Ciberseguridad de la UNIR. El examen consta de preguntas tipo test con una única respuesta correcta y preguntas de desarrollo que requieren una explicación más extensa. Se proporcionan instrucciones generales sobre la duración, idioma y calificación del examen.

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento contiene un examen para la asignatura de Seguridad en Sistemas, Aplicaciones y el Big Data del Máster Universitario en Ciberseguridad de la UNIR. El examen consta de preguntas tipo test con una única respuesta correcta y preguntas de desarrollo que requieren una explicación más extensa. Se proporcionan instrucciones generales sobre la duración, idioma y calificación del examen.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    238 vistas7 páginas

    Examen 1 Download

    Cargado por

    stokely.sohaib
    Este documento contiene un examen para la asignatura de Seguridad en Sistemas, Aplicaciones y el Big Data del Máster Universitario en Ciberseguridad de la UNIR. El examen consta de preguntas tipo test con una única respuesta correcta y preguntas de desarrollo que requieren una explicación más extensa. Se proporcionan instrucciones generales sobre la duración, idioma y calificación del examen.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    Está en la página 1de 7

    DATOS PERSONALES FIRMA

    Nombre: Xavier DNI:46145305Z


    XCA
    Apellidos: Carroza Aspachs
    ESTUDIO ASIGNATURA CONVOCATORIA

    MÁSTER UNIVERSITARIO 14136.- SEGURIDAD EN


    Ordinaria
    EN CIBERSEGURIDAD SISTEMAS, APLICACIONES Y
    EL BIG DATA Número periodo 8318
    (PLAN 2022)

    CIUDAD DEL
    FECHA MODELO
    EXAMEN

    01-06/03/2024 Modelo - B ONLINE

    Etiqueta identificativa

    INSTRUCCIONES GENERALES
    1. Lee atentamente todas las preguntas antes de empezar.
    2. La duración del examen es de 2 horas.
    3. Escribe únicamente con bolígrafo azul o negro.
    4. No está permitido utilizar más hojas de las que te facilita la UNIR (puedes utilizar
    folios para hacerte esquemas u organizarte pero no se adjuntarán al examen).
    5. El examen PRESENCIAL supone el 60% de la calificación final de la asignatura. Es
    necesario aprobar el examen, para tener en cuenta la evaluación continua.
    6. No olvides rellenar EN TODAS LAS HOJAS los datos del cuadro que hay en la
    parte superior con tus datos personales.
    7. El DNI/NIE/PASAPORTE debe estar sobre la mesa y disponible para su posible
    verificación.
    8. Apaga el teléfono móvil.
    9. Las preguntas se contestarán en CASTELLANO.
    10. El profesor tendrá muy en cuenta las faltas de ortografía en la calificación final.

    Código de examen: 217104


    Puntuación
    TEST

     Puntuación máxima 4,00 puntos


     Solo hay una respuesta correcta. Los fallos no penalizan. Cada respuesta correcta
    vale 0,40 puntos

    DESARROLLO

     Cada pregunta contestada correctamente vale 2,00 puntos


     Puntuación máxima 6,00 puntos

    PREGUNTAS TIPO TEST

    1. Una vulnerabilidad de buffer overflow es del tipo de …

    A. Diseño
    B. Implementación
    C. Operación
    D. Planeamiento

    2. Qué tipo vulnerabilidad contiene el siguiente fragmento de código?

    <img src="http://url.to.file.which/not.exist" onerror=alert(document.cookie);>

    A. PATH TRAVERSAL
    B. SQLI
    C. XSS
    D. HTTP RESPONSE SPPLITING

    3. La arquitectura AJAX ¿Qué características tiene?

    A. Llamadas asíncronas al servidor


    B. Usa javascript, XML
    C. La capa de presentación se genera en el lado cliente
    D. Todas las anteriores

    4. ¿Qué método HHTP sirve para saber qué otros métodos implementa el servidor?

    A. GET
    B. POST
    C. OPTIONS
    D. TRACE

    Código de examen: 217104


    5. Autenticación de MÚLTIPLES FACTORES significa utilizar, algo que se sabe, algo que se es
    y...

    A. NONCE
    B. ALGO QUE SE TIENE
    C. CONTRASEÑA
    D. ASSERTION

    6. ¿Cuáles de estas medidas han de adoptarse para dotar de seguridad a un identificador de sesión?

    A. Tiempo máximo de duración de sesión


    B. Tiempo máximo de inactividad
    C. Invalidar o eliminar el identificador de sesión cuando el usuario termina la sesión
    D. Todas las anteriores son correctas

    7. ¿Cómo se usa NotActions en una definición de roles?

    A. NotActions se restan de Actions para definir la lista de operaciones permitidas


    B. NotActions se consulta después de Actions para denegar el acceso a una operación
    específica
    C. NotActions permite especificar una única operación que no está permitida
    D. NINGUNA DE LAS ANTERIORES

    8. ¿Cuál de las siguientes propiedades no se aplica a los grupos de recursos?

    A. Los recursos solo pueden incluirse en un grupo de recursos


    B. Control de acceso basado en rol
    C. Se pueden anidar
    D. Ninguna de las anteriores.

    9. ¿En que se basa el servicio de autorización?

    A. ROLES, RECURSOS Y USUARIOS


    B. NONCE
    C. Lista de control de acceso (ACL)
    D. La A y la C son correctas

    10. ¿Qué es el orden de herencia para el ámbito en Azure?

    A. Grupo de administración, grupo de recursos, suscripción, recurso


    B. Grupo de administración, suscripción, grupo de recursos, recurso
    C. Suscripción, grupo de administración, grupo de recursos, recurso
    D. Ninguna de las anteriores

    Código de examen: 217104


    PLANTILLA DE RESPUESTAS
    Preguntas / Opciones A B C D

    1 X

    2 X

    3 X

    4 X

    5 X

    6 X

    7 X

    8 X

    9 X

    10 X

    Código de examen: 217104


    PREGUNTAS DE DESARROLLO

    Cada pregunta bien contestada puntúa 2 puntos

    1. Desarrollar las siguientes preguntas:

    3. Describir las fases del proceso de test de seguridad con una herramienta de análisis
    dinámico DAST (P.E. OWASP ZAP).

    Es importante describir que tipo de configuraciones e información hay que aportar en las
    fases de Crawling y Scan Activo y como realizar la fase de auditoría final de vulnerabilidades.

    Los análisis DAST (Dynamic Application Security Testing) se realizan a continuación de los
    SAST y a diferencia de estos son de caja negra. Son analisis sintácticos que se encargan de
    analizar todas la peticiones y sus respuestas.

    Tienen un indice de Verdaderos Positivos a mitad de camino entre los DAST y los IAST. Pero
    tienen bastantes falsos negativos, y esto es lo que hay que checkear en la auditoria final de
    vulnerabilidades. Hay que ir evaluando todas issues abiertas para categorizarlas correctamente
    y corregirlas si es necesario.

    En la fase de crawling, el sistema es capaz de por si solo ir navegando por la aplicación para
    un anélisis automático, pero requiere que se le indique por que paths tiene que ir.

    En el Scan activo, lo que se hace es “monitorizar” las acciones de una session. Es decir, hay
    alguien navegando por la aplicación y el sistema va recopilando la información que se va
    generando.

    Código de examen: 217104


    2. Método de autorización-autenticación OAUTH2-OPENID CONNECT: explicar cómo funciona
    mediante un esquema.

    Recomendaciones de implementación segura.

    (ESQUEMA DEBAJO)

    1) El usuario pide un código de autorización


    2) El propiertario gestiona la petición y le devuelve un codigo de autorización
    3) El usuario recibe este código
    4) El usuario envía una petición de generacion de token con su código de autorizacion
    5) EL modulo confirma la autorización y le devuelve un token
    6) El usuario hace una llamada al recurso mostrando el el token
    7) El recurso lo valida contra el modulo de autorizacion para saber si tiene permisos sobre
    ese objecto (no solo de acceso pero para realizar lo dice la llamada).
    8) Finalmente el recurso envia la respuesta de aceptacion o rechazo

    Es importante usar TLS para evitar ataques MITM, puesto que si enviamos estas peticiones en
    texto claro (no cifrado) podríamos obtener los código de autorización y tokens. Hay la opción de
    usar pre-shared keys en vez certificados, pero podríamos estar expuestos a ataques de fueza
    bruta.

    2
    Propietario del Modulo
    recurso autorización

    4
    1 3 7
    5
    usuario Recurso
    6

    Código de examen: 217104


    3. (0,50 puntos) Determinar en el siguiente fragmento de código: Qué tipo vulnerabilidad
    contiene y explicar en qué consiste.

    (0,50 puntos) Especificar la línea de código de entrada del dato malicioso (SOURCE), la
    línea de código que ejecuta la vulnerabilidad (SINK).

    (1,00 puntos) Añadir o sustituir las líneas de código necesarias para solucionar la
    vulnerabilidad.

    1. public void bad(HttpServletRequest request, HttpServletResponse response)


    throws Throwable {
    2.
    3. String data;
    4. boolean local_f = false;
    5. while(true)
    6. {
    7. Logger log_bad = Logger.getLogger(“local-logger”);
    8. Data = System.getenv(“ADD”); /SOURCE
    9. break;
    10. }
    11. while(true)
    12. {
    13. Cookie cookieSink = new Cookie(“lang”, data);
    14. Response.addCookie(cookieSink); /SINK
    15. break;
    16. }
    17. }
    18. ...

    Es una vulnerabilidad HTTP response splitting

    Antes de la linea 14, donde enviamos la respuesta, habría que añadir una funcion de enconde
    para evitar CR LF.

    Código de examen: 217104

    También podría gustarte