Está en la página 1de 4

RECOMENDACIONES PRUEBA

PRESENCIAL

En las guías de cada tema, en el apartado ¿COMO ESTUDIAR ESTE TEMA?


vienen estructurados todos los contenidos que hay que estudiar de cara al
examen.

Estas recomendaciones con respecto a la sección ¿COMO ESTUDIAR ESTE


TEMA? consta de 2 partes:

1. Partes de COMO ESTUDIAR ESTE TEMA que hay que estudiar para el
examen, se reduce el material a estudiar.
2. Formato de examen.

1. Partes de COMO ESTUDIAR ESTE TEMA que hay que estudiar


para el examen

Nota: no confundir los APUNTES DEL PROFESOR que hay en los


temas 1 y 2 con las GUÍAS de los temas en PDF. Son los apuntes del
profesor los que hay que estudiar. Las guías son meros resúmenes
de los temas con enlaces a diferentes recursos de interés. Los temas
3 y 4 no tienen apuntes del profesor, las referencias a estudiar son
contenido libre disponible en Internet o de autores con licencia
CEDRO.

Se recomienda repasar las preguntas de los test de autoevaluación


correspondientes a cada tema, suelen aparecer algunas de estas
cuestiones en el examen.

Las presentaciones de las clases, pueden servir como apoyo del


temario referenciado.

TEMA1

Para estudiar este tema, lee los apuntes elaborados por el profesor para este
tema «Arquitectura de las aplicaciones web y bases de datos», pags 2 a 7 a.i. y
11 a 31 a.i.
TEMA 2

Para el apartados 2.5, evaluación de la seguridad de las aplicaciones web, se


ha de seguir el documento elaborado por el profesor para este tema 2:
«Seguridad de las aplicaciones online», pags. 28 a 37 a.i. (Análisis de seguridad
dinámico de caja negra, caja blanca y herramientas híbridas). Apoyarse en la
sesión presencial sobre análisis de la seguridad de aplicaciones.

Para el apartado 2.6., seguridad online app. web, se ha de seguir el documento


elaborado por el profesor para este tema 2: «Seguridad de las aplicaciones
online» pags. 37 a 45 a.i. (Apoyarse con la presentación de la sesión presencial
sobre gestión de sesiones) y además:

GUÍA SP800-44v2 del NIST, licencia libre, métodos de autenticación en


servidores web. págs. 7-1 a 7-7 y 7.12 (desde punto 7.6 brute force attacks) a 7.14.
Se puede optar, por utilizar la presentación y explicación de la sesión presencial
sobre métodos de autenticación.

OWASP Development Guide 2.0.1, licencia libre, métodos de autorización en


app. web, páginas 146 a 154. Recuperado el 24 de abril de 2015. Se puede optar,
por utilizar la presentación y explicación de la sesión presencial sobre métodos
de autorización.

TEMA 3

El apartado 3.2. se ha de estudiar mediante la guía de seguridad de servicios


web del NIST SP.800-95, páginas 2.7 a 2.18.
El apartado 3.3. se ha de estudiar mediante la guía de seguridad de servicios
web del NIST SP.800-95, páginas. 3.1 a 3.11.; pags. 3.14. a 3.25 y pags. 3.30 a
3.32.
La guía está disponible en la siguiente dirección web:
http://csrc.nist.gov/publications/nistpubs/800-95/SP800-95.pdf

TEMA 4

Para estudiar el apartado 4.2:

AMENAZAS y VULNERABILIDADES en SGBD,s, acceder al apartado


RECURSOSDOCUMENTACIÓN de la plataforma y estudiar el documento:
Top 10 Database Vulnerabilities and Misconfigurations:

1. Default, Blank & Weak Username/Password.


2. SQL Injections in the DBMS.
3. Excessive User & Group Privilege.
4. Unnecessary Enabled Database Features.
5. Broken Configuration Management.
6. Buffer Overflows.
7. Privilege Escalation.
8. Denial of Service Attack DoS.
9. Unpatched Databases.
10. Unencrypted sensitive data – at rest and in motion.

DATABASE SECURITY TECHNICAL IMPLEMENTATION GUIDE Version 8,


Release 1, disponible en el apartado RECURSOSDOCUMENTACIÓN de la
plataforma web:

Apartado 4.3. pags. 5 a 12. Apartado 4.5. pags. 12 a 18.

2. Formato de examen

- 10 preguntas tipo test (una del tema 1 y tres de cada uno de los temas restantes)
a 0,50 puntos cada una, total 5 puntos. Una sola respuesta correcta. No
restan las mal contestadas. Serán similares a las preguntas de los test de
cada tema de la plataforma.

- 2 preguntas a desarrollar a elegir entre 3. Cada una vale 2,5 puntos, total 5
puntos. Extensión máxima por pregunta: 1 cara y media. Las preguntas pueden
ser como:

- Métodos de autenticación en aplicaciones web. Enumerar y describir


cada uno de los métodos, características, recomendaciones de
implementación, ataques que pueden sufrir…

Para resolver cualquier duda, como siempre, estoy disponible en la plataforma.

Juan Ramón Bermejo


Profesor de la asignatura