Act 1 Revisin de Presaberes

Revisin del intento 1

Comenzado el: martes, 12 de marzo de 2013, 22:43
Completado el: martes, 12 de marzo de 2013, 23:34
Tiempo empleado: 50 minutos 27 segundos

Act 1 Revisin de Presaberes

Puntos: 1
Para producir una aplicacin web segura, debe definir que
significa para esa aplicacin ser segura. OWASP le recomienda
usar:
Seleccione una respuesta.
a. Los estndares de verificacin de
seguridad en aplicaciones, Application
Security Verification Standard (ASVS)

b. La Gua de desarrollo OWASP

c. OWASP recomienda el modelo de
comprobacin de Madurez del software
d. OWASP recomienda la gua WebGoat
e. OWASP recomienda el proyecto
OWASP Enterprise Security API

Correcto
Puntos para este envo: 1/1.

Para producir una aplicacin web

segura, debe definir que significa para
esa aplicacin ser segura. OWASP le
recomienda usar los estndares de
verificacin de seguridad en
aplicaciones, Application Security
Verification Standard (ASVS), como
una gua para configurar los requisitos
de seguridad de sus aplicacin/es.

Para producir una aplicacin web segura, debe definir que

significa para esa aplicacin ser segura. OWASP le recomienda
usar los estndares de verificacin de seguridad en aplicaciones,
Application Security Verification Standard (ASVS), como una gua
para configurar los requisitos de seguridad de las aplicacin/es.
2
Puntos: 1Para prevenir la CSFR se necesita incluir un testigo no
predecible en el cuerpo, o URL, de cada peticin HTTP. Dicho
testigo debe ser:Seleccione al menos una respuesta.
a. Includo en el servidor de BD donde
reside la aplicacin
b. El testigo tambin puede ser incluido
en la URL misma, o en un parmetro de
la URL. S
c. La opcin preferida es incluir el testigo Correcto
en un campo oculto.
d. Como mnimo, nico por cada sesin
de usuario

correcto
Puntos para este envo: 1/1.

El Guardin CSRF de la OWASP, puede ser utilizado para incluir

automticamente los testigos en aplicaciones Java EE, .NET o
PHP. La API ES de la OWASP, incluye generadores y validadores
de testigos que los realizadores de software pueden usar para
proteger sus transacciones.
3
Puntos: 1
Acerca del proyecto OWASP: Cul afirmacin es errada:
Seleccione una respuesta.

a. Todas la herramientas, documentos,

foros y captulos de OWASP son
gratuitos y abiertos a cualquiera
interesado en mejorar la seguridad en
aplicaciones.
b. OWASP no est afiliada a ninguna
compaa de tecnologa

Mirando a futuro, OWASP recomienda que

las organizaciones establezcan una base
slida de formacin, estndares y
herramientas que hagan posible la
codificacin segura

c. El OWASP Top 10 fue lanzado por

primera vez en 2003
d. El Top 10 No es un programa de
seguridad en aplicaciones

correcto
Puntos para este envo: 0/1.

Mirando a futuro, OWASP recomienda que las organizaciones

establezcan una base slida de formacin, estndares y
herramientas que hagan posible la codificacin segura
4
Puntos: 1
La licencia Creative Commons por la que est soportda el
proyecto OWASP, hace referencia a lo siguiente:
Seleccione una respuesta.
a. Que cualquier reutilizacin o distribucin
que se haga al proyecto OWASP, usted debe
dejar en claro a otros los trminos de la
licencia sobre este trabajo.
b. Las licencias Creative Commons equivale a
reemplazar los derechos de autor como el
caso de OWASP,
c. Las licencias Creative Commons le dan
permisos al autor y a cualquier usuario
cambiar fcilmente los trminos y
condiciones de derechos de autor
d. OWASP se distribuye bajo Copyright de
uso propietario. La publicacin de los TOP 10
tienen costo.

Correcto

Correcto
Puntos para este envo: 1/1.

OWASP es publicado bajo la licencia Creative Commons

Attribution ShareAlike 3.0. Para cualquier reutilizacin o
distribucin, usted debe dejar en claro a otros los trminos de la
licencia sobre este trabajo.
5
Puntos: 1
Dentro del OWASP Top 10 el A1-Injection, el trabajo del atacante
es:
Seleccione al menos una respuesta.
a. La inyeccin de cdigo se hace
directamente en la interfz de la
aplicacin en el servidor.
b. La inyeccn de cdigo se realiza
metiante APIs (Application Programming
Interface)
c. La inyeccin de cdigo malicioso se
envia mediante simples cadenas de texto
que explotan la sintaxis del interprete
atacado.
d. La inyeccin es frecuentemente
encontrada en consultas SQL, LDAP,
XPath, comandos de SO, argumentos de
programa,

Las fallas de inyeccion ocurren cuando

una aplicacin enva datos no confiables a
un interprete. Las fallas de inyeccin son
muy prevalentes, particularmente en
cdigo legado, el cual es frecuentemente
encontrado en consultas SQL, LDAP,
XPath, comandos de SO, argumentos de
programa, etc.

correcto
Puntos para este envo: 0.5/1.

Casi cualquier fuente de datos puede ser un vector de inyeccion,

incluyendo fuentes internas.
6
Puntos: 1
Los vectores de ataque son mediciones que hacen referencia a:

Seleccione una respuesta.

a. Impacto bajo, mediano y severo

Incorrecto: El vector de ataque hace

referencia al nivel de dificultad para
realizar la explotacin de la
vulnerabilidad.

b. Prevalencia comn, continua o poco

comn
c. Explotaciones fciles, medianas o
difciles.
d. Detecciones fciles, medianas o
difciles

correcto
Puntos para este envo: 1/1.

El vector de ataque hace referencia al nivel de dificultad para

realizar la explotacin de la vulnerabilidad.
7
Puntos: 1
La dificultad parala la deteccin de XSS a travs de herramientas
automatizadas obedece a:
Seleccione una respuesta.
a. El uso de certificados SSL
b. El uso de Intrpretes

Tanto las herramientas estticas como dinmicas

pueden encontrar algunos problemas de XSS
automticamente. Sin embargo, cada aplicacin
construye las paginas de salida diferentemente y
utiliza diferentes interpretes tales como
JavaScript, ActiveX, Flash, y Silverlight, lo que
dificulta la deteccin automtica

c. El uso de referencias cruzadas

d. El uso de CMS como Joonla

Correcto
Puntos para este envo: 1/1.

Tecnologas Web 2.0, tales como AJAX, dificultan la deteccin de

XSS a travs de herramientas automatizadas.

8
Puntos: 1
Cuando los atacantes crean peticiones HTTP falsas es por que
existe una vulnerabilidad en la aplicacin web. La forma de
revisar esta vulnerabilidad o detectarla es:
Seleccione al menos una respuesta.
a. Verificar transacciones que involucren mltiples Correcto
pasos Los atacantes pueden falsificar una serie de
peticiones a travs de mltiples etiquetas o
posiblemente cdigo javascript
b. Envriptando los encabezados y mtodos HHTP
como : HEAD, GET
c. Verificando la implementacin de un certificado
seguro SSL
d. Verificando si cada enlace, y formulario, contiene Correcto
un testigo (token)

correcto
Puntos para este envo: 1/1.

La forma ms sencilla de revisar la vulnerabilidad en una

aplicacin, es verificando si cada enlace, y formulario, contiene
un testigo (token) no predecible para cada usuario. Si no se tiene
dicho testigo, los atacantes pueden falsificar peticiones.
9
Puntos: 1
Cuando unana aplicacin utiliza un certificado SSL configurado
incorrectamente, lo que provoca que el navegador muestre
advertencias a sus usuarios, es un escenario tpico de un riesgo
qasociado a:
Seleccione una respuesta.

a. Proteccin Insuficiente en la Capa de

Transporte
b. Falla de Restriccin de Acceso a URL

Incorrecto: Son escenarios de

ataque de una Proteccin
Insuficiente en la Capa de
Transporte

c. Falsificacin de Peticiones en Sitios Cruzados

(CSFR)
d. Prdida de Autenticacin y Gestin de
Sesiones
e. Almacenamiento Criptogrfico Inseguro
f. Referencia Directa Insegura a Objetos
g. Redirecciones y reenvos no validados

correcto
Puntos para este envo: 1/1.

Correcto: Esto hace que los usuarios se acostumbren a estos

avisos. Un ataque de phishing contra la aplicacin atrae los
clientes a otra aplicacin de apariencia similar a la original que no
dispone de un certificado vlido, lo que genera advertencias
similares en el navegador. Como las vctimas se encuentran
acostumbradas a dichas advertencias, proceden a acceder al sitio
de phishing facilitando contraseas u otra informacin sensible.
10
Puntos: 1
El objetivo principal del Top 10 de OWASP es:
Seleccione una respuesta.

a. Educar

El objetivo principal del Top 10 es educar

desarrolladores, diseadores, arquitectos,

gerentes, y organizaciones sobre las

consecuencias de las vulnerabilidades de
seguridad ms importantes en
aplicaciones web. El Top 10 provee
tcnicas bsicas sobre como protegerse
en estas reas de alto riesgo y tambin
provee orientacin sobre los pasos a
seguir.
b. Identificar Vulnerabilidades en
Aplicaciones Web
c. Comercializar las heramientas
desarrolladas
d. Desarrollar
e. Brindar Herramientas de seguridad para
aplicaciones web
f. Proteger a la comunidad de
desarrolladores de los ataques a
aplicaciones web

Correcto
Puntos para este envo: 1/1.

El objetivo principal del Top 10 es educar desarrolladores,

diseadores, arquitectos, gerentes, y organizaciones sobre las
consecuencias de las vulnerabilidades de seguridad ms
importantes en aplicaciones web. El Top 10 provee tcnicas
bsicas sobre como protegerse en estas reas de alto riesgo y
tambin provee orientacin sobre los pasos a seguir.