Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 31 vistas

    2023 Modelo1

    Cargado por

    Irene AbHr
    Este documento contiene un examen de ciberseguridad con preguntas de tipo test y preguntas de desarrollo. El examen evalúa conceptos relacionados con seguridad en sistemas, aplicaciones y big data.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    2023 Modelo1

    Cargado por

    Irene AbHr
    31 vistas7 páginas
    Este documento contiene un examen de ciberseguridad con preguntas de tipo test y preguntas de desarrollo. El examen evalúa conceptos relacionados con seguridad en sistemas, aplicaciones y big data.

    Descripción original:

    examen

    Título original

    2023_modelo1

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento contiene un examen de ciberseguridad con preguntas de tipo test y preguntas de desarrollo. El examen evalúa conceptos relacionados con seguridad en sistemas, aplicaciones y big data.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    31 vistas7 páginas

    2023 Modelo1

    Cargado por

    Irene AbHr
    Este documento contiene un examen de ciberseguridad con preguntas de tipo test y preguntas de desarrollo. El examen evalúa conceptos relacionados con seguridad en sistemas, aplicaciones y big data.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    Está en la página 1de 7

    DATOS PERSONALES FIRMA

    Nombre: Jhon Jairo DNI:1121870283


    Apellidos: Rojas SUarez
    ESTUDIO ASIGNATURA CONVOCATORIA

    MÁSTER UNIVERSITARIO 14136.- SEGURIDAD EN


    Ordinaria
    EN CIBERSEGURIDAD SISTEMAS, APLICACIONES Y
    EL BIG DATA Número periodo 5732
    (PLAN 2022)

    CIUDAD DEL
    FECHA MODELO
    EXAMEN

    03-05/03/2023 Modelo - 1 Bogota

    Etiqueta identificativa

    INSTRUCCIONES GENERALES
    1. Lee atentamente todas las preguntas antes de empezar.
    2. La duración del examen es de 2 horas.
    3. Escribe únicamente con bolígrafo azul o negro.
    4. No está permitido utilizar más hojas de las que te facilita la UNIR (puedes utilizar
    folios para hacerte esquemas u organizarte pero no se adjuntarán al examen).
    5. El examen PRESENCIAL supone el 60% de la calificación final de la asignatura. Es
    necesario aprobar el examen, para tener en cuenta la evaluación continua.
    6. No olvides rellenar EN TODAS LAS HOJAS los datos del cuadro que hay en la
    parte superior con tus datos personales.
    7. El DNI/NIE/PASAPORTE debe estar sobre la mesa y disponible para su posible
    verificación.
    8. Apaga el teléfono móvil.
    9. Las preguntas se contestarán en CASTELLANO.
    10. El profesor tendrá muy en cuenta las faltas de ortografía en la calificación final.

    Código de examen: 202383


    Puntuación
    TEST

     Puntuación máxima 4.00 puntos


     Solo hay una respuesta correcta. Los fallos no penalizan. Cada respuesta correcta
    vale 0.40 puntos

    DESARROLLO

     Puntuación máxima 6.00 puntos


     Cada pregunta contestada correctamente vale 2.00 puntos

    PREGUNTAS TIPO TEST

    1. ¿Cuál de opciones siguientes es una unidad lógica de servicios de Azure asociada a una
    cuenta de Azure?

    A. Subscripción de Azure
    B. Grupo de Administración
    C. Grupo de recursos
    D. Ninguna de las anteriores.

    2. ¿Qué componentes incorpora Azure Key Vault?

    A. Almacenes
    B. Secretos
    C. Claves
    D. Todas las anteriores

    3. La novedad Virtual Secure Mode es una característica de Windows server introducida en la


    versión…

    A. 2019
    B. 2016
    C. 2022
    D. NINGUNA DE LAS ANTERIORES

    4. La vulnerabilidad que permite acceder a recursos locales del servidor se denomina:

    A. XSS
    B. REDIRECT
    C. LFI
    D. Ninguna de las anteriores

    5. Para explotar HTTP RESPONSE SPLITTING hay que usar los caracteres...

    Código de examen: 202383


    A. //
    B. COMILLA
    C. CR LF
    D. ./

    6. KERBEROS usa...

    A. Token
    B. Tikect
    C. Assertion
    D. Token y Asertion

    7. Mejor defensa contra CSRF...

    A. HTTPONLY
    B. TLS
    C. CONTRASEÑA
    D. TOKEN ANTI-CSRF

    8. La cabecera de seguridad X-FRAME-OPTIONS...

    A. Se debe configurar con parámetro TLS


    B. Se debe configurar con parámetro DENY
    C. Se debe configurar con parámetro HTTPONLY
    D. Se debe configurar con parámetro ALL

    9. ¿Qué se recomienda para NONCE en el método de autenticación DIGEST?

    A. UN SOLO USO
    B. UNA VENTANA DE TIEMPO GRANDE
    C. NONCE NO ES NECESARIO
    D. NINGUNA DE LAS ANTERIORES

    10. GOOGLE CHROME tiene una arquitectura...

    A. MONOLÍTICA
    B. MODULAR
    C. MIXTA
    D. NINGUNA DE LAS ANTERIORES

    Código de examen: 202383


    PLANTILLA DE RESPUESTAS
    Preguntas / Opciones A B C D

    1 X

    2 X

    3 X

    4 X

    5 X

    6 X

    7 X

    8 X

    9 X

    10 X

    Código de examen: 202383


    PREGUNTAS DE DESARROLLO

    Cada pregunta bien contestada puntúa 2 puntos

    1. Desarrollar las siguientes preguntas:

    1. Cabeceras de seguridad para protección del protocolo HTTP y las aplicaciones web.
    Concepto. Ejemplo de una petición HTTP que incluya las principales cabeceras de
    seguridad, parámetros y sus valores.

     Strict transport security layer:Obliga al uso de https


     X-frame options: Evita que la pagina pueda ser incrustada dentro de un FRAME
     Content security policy: Permite restringir a traves de una serie de politicas los sitios a
    los que se conecta el servidor para el uso de imágenes, fuentes, etc.
     XSS-Protection: Protección contra ataques de cross site scripting

    Ejemplo de una petición HTTP que incluya las principales cabeceras de seguridad,
    parámetros y sus valores. Las cabeceras se incluyen en el response del servidor.

    HTTP 1.1 200 OK

    Strict transport security layer: 1


    X-frame options: DENY
    XSS-Protection: 1
    CSP: Same origin

    2. Método de autorización-autenticación OAUTH2-OPENID CONNECT. Concepto y


    esquema: Este metodo de autenticación y autorización en el que existe un esquema de
    autenticación que valida las credenciales de usuario y una vez autenticado genera tokens de
    sesión para mantener al usuario autenticado. En este esquema existe un dispositivo encargado
    de emitir y verificar los tokens para asegurar que el cliente se encuentra auntenticado y solo
    accede a los recursos para los que tiene autorización.

    1. Autenticación
    con credenciales
    Autenticación
    y autorización
    2. JWT
    Navegador
    cliente 5. Si, es 4. El token es
    3. JWT valido valido??

    Recursos
    6. Entrega del
    servicio

    JWT: Concepto, vulnerabilidades y ataques que puede sufrir. Implementación segura.

    Código de examen: 202383


    JWT: Es el acronimo de JSON Web Token basicamente se trata de un parametro utilizado para
    la autenticación y autorización en aplicaciónes, dicho parametro se divide en tres partes:
    cabecera, carga util y firma, cada una de las partes se encuentra dividida por una coma y son
    usadas de la siguiente forma:
     Cabecera: indica las caracteristicas del token
     Payload: contiene la información necesaria para que la aplicación permita el consumo de
    recursos, por ejemplo en este campo se puede encontrar el rol del usuario.
     Firma: Contiene una HMAC de la información contenida en el payload y en la cabecera,
    de manera que se asegura su integridad y autenticidad.

    Posibles vulnerabilidades: Las vulnerabilidades más frecuentes hacen referencia a una mala
    configuración del token, con respecto a la ausencia de definiciones para su tiempo de uso o
    parámetros de autorización. Otra vulnerabilidad frecuente es el uso de algoritmos de cifrado
    débiles para la firma del token.

    Ataques:
     Si un JWT no tiene correctamente definido el tiempo de validez, un atacante puede
    capturarlo para acceder a servicios no autorizados.
     Si un JWT no tiene bien definidos los permisos, un atacante puede capturarlo y usarlo
    para sobrepasar el proceso de autorización de una aplicación.
     Si la firma de un JWT es calculada con un algoritmo de cifrado débil, un atacante puede
    capturar el token, realizar un ataque offline para conseguir la clave del HMAC y
    posteriormente estaría en la capacidad de generar tokens válidos, con lo que lograría
    sobrepasar el proceso de autorización.

    Implementación segura:
     Algunas recomendaciones de seguridad para la implementación segura son:
    o Definir tiempos cortos para la validez de los tokens
    o Usar algoritmos de cifrado fuertes que no presenten vulnerabilidades
    o Restringir los permisos de los tokens de autorización
    o Hacer uso de HTTPS siempre

    3. (0,50 puntos) Determinar en el siguiente fragmento de código: Qué tipo vulnerabilidad


    contiene y explicar en qué consiste.

    La vulnerabilidad es XSS reflejado: Consiste en una vulnerabilidad que permite modificar la


    pagina web. Aunque el cambio solo se refleja en el navegador del atacante, este puede diseñar
    una URL modificada para engañar a usuarios y robar cookies de sesión u alguna otra
    información relevante.

    (0,50 puntos) Especificar la línea de código de entrada del dato malicioso (SOURCE), la línea
    de código que ejecuta la vulnerabilidad (SINK).

    (1,00 puntos) Añadir o sustituir las líneas de código necesarias para solucionar la
    vulnerabilidad.

    1. public void bad(HttpServletRequest request, HttpServletResponse response) throws Throwable


    2. {
    3. String data;

    Código de examen: 202383


    4. Logger log_bad = Logger.getLogger("local-logger");
    5. data = request.getParameter("name"); SOURCE
    6. response.getWriter().println("<br>bad() - Parameter name has value " + data); SINK
    7. }

    La vulnerabilidad puede ser corregida usando la librería ESAPI o la librería ENCODE antes de ejecutar el
    parametro que contiene la variable data.

    5. data = request.getParameter("name"); SOURCE


    6. Encodeforhtml(data);
    7. response.getWriter().println("<br>bad() - Parameter name has value " + data); SINK

    (Responder en 5 caras)

    Código de examen: 202383

    También podría gustarte