DATOS PERSONALES FIRMA

Nombre: DNI:
Apellidos:
ESTUDIO ASIGNATURA CONVOCATORIA

MÁSTER UNIVERSITARIO 14136.- SEGURIDAD EN

Ordinaria
EN CIBERSEGURIDAD SISTEMAS, APLICACIONES Y
EL BIG DATA Número periodo 5732
(PLAN 2022)

CIUDAD DEL
FECHA MODELO
EXAMEN

03-05/03/2023 Modelo - A

Etiqueta identificativa

INSTRUCCIONES GENERALES
1. Lee atentamente todas las preguntas antes de empezar.
2. La duración del examen es de 2 horas.
3. Escribe únicamente con bolígrafo azul o negro.
4. No está permitido utilizar más hojas de las que te facilita la UNIR (puedes utilizar
folios para hacerte esquemas u organizarte pero no se adjuntarán al examen).
5. El examen PRESENCIAL supone el 60% de la calificación final de la asignatura. Es
necesario aprobar el examen, para tener en cuenta la evaluación continua.
6. No olvides rellenar EN TODAS LAS HOJAS los datos del cuadro que hay en la
parte superior con tus datos personales.
7. El DNI/NIE/PASAPORTE debe estar sobre la mesa y disponible para su posible
verificación.
8. Apaga el teléfono móvil.
9. Las preguntas se contestarán en CASTELLANO.
10. El profesor tendrá muy en cuenta las faltas de ortografía en la calificación final.

Código de examen: 202387

 Puntuación
TEST

 Puntuación máxima 4.00 puntos

 Solo hay una respuesta correcta. Los fallos no penalizan. Cada respuesta correcta
vale 0.40 puntos

DESARROLLO

 Puntuación máxima 6.00 puntos

 Cada pregunta contestada correctamente vale 2.00 puntos

PREGUNTAS TIPO TEST

1. ¿Cómo se usa NotActions en una definición de roles?

A. NotActions se restan de Actions para definir la lista de operaciones permitidas

B. NotActions se consulta después de Actions para denegar el acceso a una operación
específica
C. NotActions permite especificar una única operación que no está permitida
D. NINGUNA DE LAS ANTERIORES

2. ¿Cuál de las siguientes propiedades no se aplica a los grupos de recursos?

A. Los recursos solo pueden incluirse en un grupo de recursos

B. Control de acceso basado en rol
C. Se pueden anidar
D. Ninguna de las anteriores.

3. ¿Qué es el orden de herencia para el ámbito en Azure?

A. Grupo de administración, grupo de recursos, suscripción, recurso

B. Grupo de administración, suscripción, grupo de recursos, recurso
C. Suscripción, grupo de administración, grupo de recursos, recurso
D. Ninguna de las anteriores

4. La vulnerabilidad que permite acceder a recursos locales del servidor se denomina:

A. XSS
B. REDIRECT
C. LFI
D. Ninguna de las anteriores

5. Respecto a las variantes de instalación de los FIREWALLS DE APLICACIONES WEB,

señalar la afirmación incorrecta:

Código de examen: 202387

 A. La configuración en modo proxy inverso es la menos deseable
B. Se debe proporcionar redundancia en la configuración con dos WAF.
C. Pueden efectuar validaciones de tipo whitelist, blacklist o una combinación de ambos
tipos.
D. Blacklist, consiste en mantener una base de datos de firmas de ataques mientras que
whitelist consiste en tener un modelo de tráfico aceptado entre la aplicación y el
cliente.

6. DIGEST...

A. Cifra las credenciales en todas las peticiones

B. Codfica las credenciales en todas las peticiones
C. HASH de las credenciales en todas las peticiones
D. Cifra y codifica las credenciales en todas las peticiones

7. GOOGLE CHROME tiene una arquitectura...

A. MONOLÍTICA
B. MODULAR
C. MIXTA
D. NINGUNA DE LAS ANTERIORES

8. TRACE tiene la vulnerabilidad...

A. XSS
B. XST
C. SQLI
D. CSRF

9. Las herramientas de análisis dinámico, en tiempo real, RAST o IAST son:

A. De tipo de caja blanca.

B. De tipo de caja negra.
C. Las hay de caja negra y de caja blanca.
D. Ninguna de las anteriores.

10. CVE...

A. Deficición de una tipo de vulnerabilidad de forma genérica

B. un tipo de ataque
C. Publicación de la existencia de una vulnerabilidad concreta en un software concreto
D. Un proyecto OWASP

Código de examen: 202387

 PLANTILLA DE RESPUESTAS
Preguntas / Opciones A B C D

1 X

2 X

3 X

4 X

5 X

6 X

7 X

8 X

9 X

10 X

Código de examen: 202387

PREGUNTAS DE DESARROLLO

Cada pregunta bien contestada puntúa 2 puntos

1. Desarrollar las siguientes preguntas:

1. Describir el proceso de test de penetración en aplicaciones web, descripción, fases,

utilizando de una herramienta de análisis dinámico de caja negra (DAST: ejemplo OWASP
ZAP).

2. Seguridad y privacidad en HADOOP. Soluciones y herramientas disponibles.

3. Determinar en el siguiente fragmento de código: Qué tipo vulnerabilidad contiene, línea de

código de entrada del dato malicioso (SOURCE), línea de código que ejecuta la vulnerabilidad
(SINK) y proponer una línea de código alternativa a la línea que contiene la instrucción SINK,
que solucione la vulnerabilidad.

1. public void bad(HttpServletRequest request, HttpServletResponse response)

throws Throwable {
2. String data;
3. boolean local_f = false;
4. while(true)
5. {
6. Logger log_bad = Logger.getLogger("local-logger");
7. data = System.getenv("ADD");
8. break;
9. }
10. while(true)
11. {
12. Cookie cookieSink = new Cookie("lang", data);
13. response.addCookie(cookieSink);
14. break;
15. }
16. ...

(Responder en 6 caras)

Código de examen: 202387

2.

1. public void bad(HttpServletRequest request, HttpServletResponse response)

throws Throwable {
2. String data;
3. boolean local_f = false;
4. while(true)
5. {
6. Logger log_bad = Logger.getLogger("local-logger");
7. data = System.getenv("ADD"); //Source
8. break;
9. }
10. while(true)
11. {
12. Cookie cookieSink = new Cookie("lang", URL.Encode(data));
13. response.addCookie(cookieSink); //Sink
14. break;
15. }
16. ...

Código de examen: 202387

Es un HTTP spliting response y para ello vamos a realizar un encode de la información.

Código de examen: 202387