Seguridad de la Información

Prof. Vincenzo Mendillo

JULIA CAMACHO, C.I. 16.464.183
Fecha: 10 de Julio de 2016
Cuestionario 3: INSEGURIDAD EN REDES Y EN APLICACIONES WEB
Primera parte
(2) ¿Qué se entiende por “pinchar el teléfono”? ¿Cómo se efectúa esta actividad
de forma ilegal y legal?

Primera parte

1. Analice la problemática de la seguridad en las redes corporativas modernas.

2. Argumente la ventaja de usar un LAN switch en lugar de un hub. ¿Resuelve completamente
los problemas de seguridad?
3. Explique cómo se efectúa la falsificación y envenenamiento de paquetes ARP y cómo se
puede combatir esta actividad.
4. ¿Qué es un ataque de DNS spoofing?
5. Describa las vulnerabilidades que se han descubierto en relación a IPv6 y 1os ataques que
empiezan a florecer.
6. Explique el peligro con las redes locales inalámbricas WLAN/Wi-Fi. ¿Qué es un sniffer
inalámbrico? Mencione un producto.

Segunda parte

1. La inseguridad en aplicaciones Web es un tema difícil de enseñar y de aprender. Por tal

razón se dispone de software de entrenamiento. Describa 3 productos.
2. ¿Por qué las vulnerabilidades en aplicaciones Web son tran atractivas para los atacantes?
3. ¿Qué es el defacement de un portal web?
4. OWASP lista las vulnerabilidades más graves de aplicaciones Web. ¿Cuáles son las más
recientes?
5. ¿Cuáles son los distintos tipos de autenticación utilizados comúnmente en entornos Web?
6. Muestre cómo se efectúa el ataque a la autenticación básica usada en HTTP.
7. ¿Por qué es importante tener en cuenta las cookies en la seguridad de aplicaciones Web?
8. Explique las causas de las vulnerabilidades por desbordamiento de buffer.
9. Describa en detalle el ataque conocido como XSS. ¿Por qué es tan popular? ¿Cuál es la
diferencia entre un XSS persistente y uno reflejado?
10. Describa en detalle el ataque conocido como SQL Injection. ¿Por qué es tan popular?
11. You are CISO in a financial organization. If the chief executive officer (CEO) asked you this
question: “Is our web site secure?”, what would you say? If you respond in the affirmative,
the CEO might say, “Prove it.” How do you provide tangible proof that your web
applications are adequately protected? Which of these answers is good/bad and why?
a. Our web applications are secure because we have deployed commercial web security
product.
b. Our web applications are secure because we use SSL/TLS.
c. Our web applications are secure because we have not identified any abnormal
behavior.
d. Our web applications are secure because we have not identified any abnormal
behavior, and we collect and analyze full HTTP audit logs for signs of malicious
behavior. We also regularly test our applications for the existence of vulnerabilities.
e. Our web applications are secure because we have not identified any abnormal
behavior, and we collect and analyze full HTTP audit logs for signs of malicious
behavior. We also regularly test our applications for the existence of vulnerabilities
and our detection and incident response capabilities.