Act 1 Revisión de Presaberes
11
Act 1 Revisión de Presaberes Revisión del intento 1 Comenzado el: martes, 12 de marzo de 2013, 22:43 Completado el: martes, 12 de marzo de 2013, 23:34 Tiempo empleado: 50 minutos 27 segundos Act 1 Revisión de Presaberes Puntos: 1 Para producir una aplicación web segura, debe definir que significa para esa aplicación ser segura. OWASP le recomienda usar: Seleccione una respuesta. a. Los estándares de verificación de seguridad en aplicaciones, Application Security Verification Standard (ASVS) Para producir una aplicación web segura, debe definir que significa para esa aplicación ser segura. OWASP le recomienda usar los estándares de verificación de seguridad en aplicaciones, Application Security Verification Standard (ASVS), como una guía para configurar los requisitos de seguridad de sus aplicación/es. b. La Guía de desarrollo OWASP c. OWASP recomienda el modelo de comprobación de Madurez del software
-
Upload
soportepsamper -
Category
Documents
-
view
219 -
download
0
description
act 1 revision
Transcript of Act 1 Revisión de Presaberes
Act 1 Revisión de Presaberes
Revisión del intento 1
Comenzado el: martes, 12 de marzo de 2013, 22:43
Completado el: martes, 12 de marzo de 2013, 23:34
Tiempo empleado: 50 minutos 27 segundos
Act 1 Revisión de Presaberes
Puntos: 1
Para producir una aplicación web segura, debe definir que significa para esa aplicación ser segura. OWASP le recomienda usar:
Seleccione una respuesta.
a. Los estándares de verificación de seguridad en aplicaciones, Application Security Verification Standard (ASVS)
Para producir una aplicación web segura, debe definir que significa para esa aplicación ser segura. OWASP le recomienda usar los estándares de verificación de seguridad en aplicaciones, Application Security Verification Standard (ASVS), como una guía para configurar los requisitos de seguridad de sus aplicación/es.
b. La Guía de desarrollo OWASP
c. OWASP recomienda el modelo de comprobación de Madurez del software
d. OWASP recomienda la guía WebGoat
e. OWASP recomienda el proyecto OWASP Enterprise Security API
CorrectoPuntos para este envío: 1/1.
Para producir una aplicación web segura, debe definir que significa para esa aplicación ser segura. OWASP le recomienda usar los estándares de verificación de seguridad en aplicaciones, Application Security Verification Standard (ASVS), como una guía para configurar los requisitos de seguridad de las aplicación/es.
2Puntos: 1Para prevenir la CSFR se necesita incluir un testigo no predecible en el cuerpo, o URL, de cada petición HTTP. Dicho testigo debe ser:Seleccione al menos una respuesta.
a. Incluído en el servidor de BD donde reside la aplicación
b. El testigo también puede ser incluido en la URL misma, o en un parámetro de la URL. S
c. La opción preferida es incluir el testigo en un campo oculto.
Correcto
d. Como mínimo, único por cada sesión de usuario
correctoPuntos para este envío: 1/1.
El Guardián CSRF de la OWASP, puede ser utilizado para incluir automáticamente los testigos en aplicaciones Java EE, .NET o PHP. La API ES de la OWASP, incluye generadores y validadores de testigos que los realizadores de software pueden usar para proteger sus transacciones.
3Puntos: 1
Acerca del proyecto OWASP: Cuál afirmación es errada:
Seleccione una respuesta.
a. Todas la herramientas, documentos,
foros y capítulos de OWASP son gratuitos y abiertos a cualquiera interesado en mejorar la seguridad en aplicaciones.
b. OWASP no está afiliada a ninguna compañía de tecnología
Mirando a futuro, OWASP recomienda que las organizaciones establezcan una base sólida de formación, estándares y herramientas que hagan posible la codificación segura
c. El OWASP Top 10 fue lanzado por primera vez en 2003
d. El Top 10 No es un programa de seguridad en aplicaciones
correctoPuntos para este envío: 0/1.
Mirando a futuro, OWASP recomienda que las organizaciones establezcan una base sólida de formación, estándares y herramientas que hagan posible la codificación segura
4Puntos: 1
La licencia Creative Commons por la que está soportda el proyecto OWASP, hace referencia a lo siguiente:
Seleccione una respuesta.
a. Que cualquier reutilización o distribución que se haga al proyecto OWASP, usted debe dejar en claro a otros los términos de la licencia sobre este trabajo.
Correcto
b. Las licencias Creative Commons equivale a reemplazar los derechos de autor como el caso de OWASP,
c. Las licencias Creative Commons le dan permisos al autor y a cualquier usuario cambiar fácilmente los términos y condiciones de derechos de autor
d. OWASP se distribuye bajo Copyright de uso propietario. La publicación de los TOP 10 tienen costo.
Correcto
Puntos para este envío: 1/1.
OWASP es publicado bajo la licencia Creative Commons Attribution ShareAlike 3.0. Para cualquier reutilización o distribución, usted debe dejar en claro a otros los términos de la licencia sobre este trabajo.
5Puntos: 1
Dentro del OWASP Top 10 el A1-Injection, el trabajo del atacante es:
Seleccione al menos una respuesta.
a. La inyección de código se hace directamente en la interfáz de la aplicación en el servidor.
b. La inyeccón de código se realiza metiante APIs (Application Programming Interface)
c. La inyección de código malicioso se envia mediante simples cadenas de texto que explotan la sintaxis del interprete atacado.
d. La inyección es frecuentemente encontrada en consultas SQL, LDAP, XPath, comandos de SO, argumentos de programa,
Las fallas de inyeccion ocurren cuando una aplicación envía datos no confiables a un interprete. Las fallas de inyección son muy prevalentes, particularmente en código legado, el cual es frecuentemente encontrado en consultas SQL, LDAP, XPath, comandos de SO, argumentos de programa, etc.
correctoPuntos para este envío: 0.5/1.
Casi cualquier fuente de datos puede ser un vector de inyeccion, incluyendo fuentes internas.
6Puntos: 1
Los vectores de ataque son mediciones que hacen referencia a:
Seleccione una respuesta.
a. Impacto bajo, mediano y severo Incorrecto: El vector de ataque hace referencia al nivel de dificultad para realizar la explotación de la vulnerabilidad.
b. Prevalencia común, continua o poco común
c. Explotaciones fáciles, medianas o difíciles.
d. Detecciones fáciles, medianas o difíciles
correctoPuntos para este envío: 1/1.
El vector de ataque hace referencia al nivel de dificultad para realizar la explotación de la vulnerabilidad.
7Puntos: 1
La dificultad parala la detección de XSS a través de herramientas automatizadas obedece a:
Seleccione una respuesta.
a. El uso de certificados SSL
b. El uso de Intérpretes Tanto las herramientas estáticas como dinámicas pueden encontrar algunos problemas de XSS automáticamente. Sin embargo, cada aplicación construye las paginas de salida diferentemente y utiliza diferentes interpretes tales como JavaScript, ActiveX, Flash, y Silverlight, lo que dificulta la detección automática
c. El uso de referencias cruzadas
d. El uso de CMS como Joonla
CorrectoPuntos para este envío: 1/1.
Tecnologías Web 2.0, tales como AJAX, dificultan la detección de XSS a través de herramientas automatizadas.
8
Puntos: 1
Cuando los atacantes crean peticiones HTTP falsas es por que existe una vulnerabilidad en la aplicación web. La forma de revisar esta vulnerabilidad o detectarla es:
Seleccione al menos una respuesta.
a. Verificar transacciones que involucren múltiples pasos Los atacantes pueden falsificar una serie de peticiones a través de múltiples etiquetas o posiblemente código javascript
Correcto
b. Envriptando los encabezados y métodos HHTP como : HEAD, GET
c. Verificando la implementación de un certificado seguro SSL
d. Verificando si cada enlace, y formulario, contiene un testigo (token)
Correcto
correctoPuntos para este envío: 1/1.
La forma más sencilla de revisar la vulnerabilidad en una aplicación, es verificando si cada enlace, y formulario, contiene un testigo (token) no predecible para cada usuario. Si no se tiene dicho testigo, los atacantes pueden falsificar peticiones.
9Puntos: 1
Cuando unana aplicación utiliza un certificado SSL configurado incorrectamente, lo que provoca que el navegador muestre advertencias a sus usuarios, es un escenario típico de un riesgo qasociado a:
Seleccione una respuesta.
a. Protección Insuficiente en la Capa de Transporte
b. Falla de Restricción de Acceso a URL Incorrecto: Son escenarios de ataque de una Protección Insuficiente en la Capa de Transporte
c. Falsificación de Peticiones en Sitios Cruzados (CSFR)
d. Pérdida de Autenticación y Gestión de Sesiones
e. Almacenamiento Criptográfico Inseguro
f. Referencia Directa Insegura a Objetos
g. Redirecciones y reenvíos no validados
correctoPuntos para este envío: 1/1.
Correcto: Esto hace que los usuarios se acostumbren a estos avisos. Un ataque de phishing contra la aplicación atrae los clientes a otra aplicación de apariencia similar a la original que no dispone de un certificado válido, lo que genera advertencias similares en el navegador. Como las víctimas se encuentran acostumbradas a dichas advertencias, proceden a acceder al sitio de phishing facilitando contraseñas u otra información sensible.
10Puntos: 1
El objetivo principal del Top 10 de OWASP es:
Seleccione una respuesta.
a. Educar El objetivo principal del Top 10 es educar desarrolladores, diseñadores,
arquitectos, gerentes, y organizaciones sobre las consecuencias de las vulnerabilidades de seguridad más importantes en aplicaciones web. El Top 10 provee técnicas básicas sobre como protegerse en estas áreas de alto riesgo – y también provee orientación sobre los pasos a seguir.
b. Identificar Vulnerabilidades en Aplicaciones Web
c. Comercializar las heramientas desarrolladas
d. Desarrollar
e. Brindar Herramientas de seguridad para aplicaciones web
f. Proteger a la comunidad de desarrolladores de los ataques a aplicaciones web
CorrectoPuntos para este envío: 1/1.
El objetivo principal del Top 10 es educar desarrolladores, diseñadores, arquitectos, gerentes, y organizaciones sobre las consecuencias de las vulnerabilidades de seguridad más importantes en aplicaciones web. El Top 10 provee técnicas básicas sobre como protegerse en estas áreas de alto riesgo – y también provee orientación sobre los pasos a seguir.
