DATOS PERSONALES FIRMA

ESTUDIO ASIGNATURA CONVOCATORIA

MÁSTER UNIVERSITARIO 14136.- SEGURIDAD EN

Ordinaria
EN CIBERSEGURIDAD SISTEMAS, APLICACIONES Y
EL BIG DATA Número periodo
(PLAN 2022)

CIUDAD DEL
FECHA MODELO
EXAMEN

15-17/07/2022 Modelo - D Quito

Etiqueta identificativa

INSTRUCCIONES GENERALES
1. Lee atentamente todas las preguntas antes de empezar.
2. La duración del examen es de 2 horas.
3. Escribe únicamente con bolígrafo azul o negro.
4. No está permitido utilizar más hojas de las que te facilita la UNIR (puedes utilizar
folios para hacerte esquemas u organizarte pero no se adjuntarán al examen).
5. El examen PRESENCIAL supone el 60% de la calificación final de la asignatura. Es
necesario aprobar el examen, para tener en cuenta la evaluación continua.
6. No olvides rellenar EN TODAS LAS HOJAS los datos del cuadro que hay en la
parte superior con tus datos personales.
7. El DNI/NIE/PASAPORTE debe estar sobre la mesa y disponible para su posible
verificación.
8. Apaga el teléfono móvil.
9. Las preguntas se contestarán en CASTELLANO.
10. El profesor tendrá muy en cuenta las faltas de ortografía en la calificación final.

This study source was downloaded by 100000878976721 from CourseHero.com on 01-15-2024 21:32:44 GMT -06:00

Código de exámen: 195767

https://www.coursehero.com/file/167503195/SEGURIDAD-EN-SISTEMAS-APLICACIONES-Y-EL-BIG-DATA-copiadocx/
 Puntuación
TEST4-3936

 Puntuación máxima 4.00 puntos

 Solo hay una respuesta correcta. Los fallos no penalizan. Cada respuesta correcta
vale 0.40 puntos

DESARROLLO4-3936

 Puntuación máxima 6.00 puntos

 Cada pregunta contestada correctamente vale 2.00 puntos

PREGUNTAS TIPO TEST

1. Los ataques pueden ser debidos a diversos tipos de vulnerabilidades, en función

de la fase del ciclo de vida de desarrollo del software y sistemas, donde se ha
producido el problema:

A. Vulnerabilidades de operación, implementación y diseño

B. Vulnerabilidades de operación, implementación y definición
C. Vulnerabilidades de pruebas, implementación y diseño
D. Ninguna de las anteriores

2. Los firewalls de aplicaciones web pueden instalarse de forma que inspeccionan pero no
bloquean el tráfico. Esta forma de instalación se denomina:

A. Modo proxy inverso.

B. Modo pasivo.
C. Modo bridge.
D. Modo embebido.

3. Señalar la opción más correcta en cuanto a los firewalls de aplicaciones del tipo proxy
inverso:

A. Se configura publicando la dirección de la interfaz externa del cortafuegos para

redirigir el tráfico al servidor de aplicaciones.
B. El dispositivo examina todo el tráfico de red bloqueándolo si detecta algún ataque o
reenviando la petición al servidor.
C. Se instala de forma que recibe un duplicado del tráfico vía network tap, de forma que
pueda ser analizado y detectar ataques pero sin posibilidad de bloquear.
D. La a y b son correctas

4. ¿Como se llama la cabecera que aloja normalmente el ID de sesión?

A. REFERER
B. AUTENTICATION
C. AUTORIZATION

This study source was downloaded by 100000878976721 from CourseHero.com on 01-15-2024 21:32:44 GMT -06:00

Código de exámen: 195767

https://www.coursehero.com/file/167503195/SEGURIDAD-EN-SISTEMAS-APLICACIONES-Y-EL-BIG-DATA-copiadocx/
 D. SET-COOKIE

5. Defensas de cabecera Set-cookie...

A. TLS
B. PATH
C. HTTPONLY
D. TODAS LAS ANTERIORES

6. ¿Cuáles de estas medidas han de adoptarse para dotar de seguridad a un identificador de sesión?

A. Tiempo máximo de duración de sesión

B. Tiempo máximo de inactividad
C. Invalidar o eliminar el identificador de sesión cuando el usuario termina la sesión
D. Todas las anteriores son correctas

7. NTLM...

A. Cifra las credenciales en todas las peticiones

B. Codifica las credenciales en todas las peticiones
C. HASH de las credenciales en todas las peticiones
D. Cifra y codifica las credenciales en todas las peticiones

8. Qué tipo vulnerabilidad contiene el siguiente fragmento de código?<HTML><TITLE>HOLA!

</TITLE>Hi<SCRIPT>var pos=document.URL.indexOf("name=")
+5;document.write(document.URL.substring(pos,document.URL.length));</SCRIPT>
Bienvenido al sistema
…</HTML>

A. PATH TRAVERSAL.
B. SQLI.
C. XSS.
D. HTTP RESPONSE SPPLITING.

9. Un administrador quiere asignar un rol para permitir a un usuario crear y administrar recursos
de Azure, pero sin poder conceder acceso a otros usuarios. ¿Cuál de los siguientes roles
integrados admitiría esta posibilidad?

A. Porpietario
B. Colaborador
C. Lector
D. Ninguna de las anteriores

10. Un test funcional de seguridad se lleva a cabo en la fase de …

A. Análisis
B. Desarrollo
C. Despliegue

This study source was downloaded by 100000878976721 from CourseHero.com on 01-15-2024 21:32:44 GMT -06:00

Código de exámen: 195767

https://www.coursehero.com/file/167503195/SEGURIDAD-EN-SISTEMAS-APLICACIONES-Y-EL-BIG-DATA-copiadocx/
 D. Producción

This study source was downloaded by 100000878976721 from CourseHero.com on 01-15-2024 21:32:44 GMT -06:00

Código de exámen: 195767

https://www.coursehero.com/file/167503195/SEGURIDAD-EN-SISTEMAS-APLICACIONES-Y-EL-BIG-DATA-copiadocx/
 PLANTILLA DE RESPUESTAS
Preguntas / Opciones A B C D

1 X

2 X

3 X

4 X

5 X

6 X

7 X

8 X

9 X

10 X

This study source was downloaded by 100000878976721 from CourseHero.com on 01-15-2024 21:32:44 GMT -06:00

Código de exámen: 195767

https://www.coursehero.com/file/167503195/SEGURIDAD-EN-SISTEMAS-APLICACIONES-Y-EL-BIG-DATA-copiadocx/
 PREGUNTAS DE DESARROLLO

Cada pregunta bien contestada puntúa 2 puntos

1. Desarrollar las siguientes preguntas:

1. Firewalls de aplicaciones web (WAF). Descripción, concepto, características, ataques que

pueden impedir, tipos y clasificaciones, recomendaciones de instalación.

Un firewall de aplicaciones web (WAF), protege de múltiples ataques al servidor de

aplicaciones en el backend, garantizando la seguridad del servidor web mediante el análisis
de paquetes de petición HTTP/HTTPS y modelos de tráfico.

Examina cada petición enviada al servidor, antes de que esta llegue a la aplicación para de
esta manera segurarse de que cumpla con las reglas y políticas establecidas en el firewall.

Características en el software: Instalando una aplicación en el sistema operativo.

Características en el hardware: Integrando las funcionalidades en una solución de applliance

2. Determinar en el siguiente fragmento de código:

(1.00 punto) Qué tipo vulnerabilidad contiene, línea de código de entrada del dato malicioso
(SOURCE), línea de código que ejecuta la vulnerabilidad (SINK).

(1.00 punto) modificar/añadir código para que solucione la vulnerabilidad.

1. public void bad(HttpServletRequest request, HttpServletResponse response)

throws Throwable {
2. String data;
3. boolean local_f = false;
4. while(true)
5. {
6. Logger log_bad = Logger.getLogger("local-logger");
7. data = System.getenv("ADD");
8. break;
9. }
10. while(true)
11. {
12. Cookie cookieSink = new Cookie("lang", data);
13. response.addCookie(cookieSink);
14. break;
15. }
16. ...

This study source was downloaded by 100000878976721 from CourseHero.com on 01-15-2024 21:32:44 GMT -06:00

Código de exámen: 195767

https://www.coursehero.com/file/167503195/SEGURIDAD-EN-SISTEMAS-APLICACIONES-Y-EL-BIG-DATA-copiadocx/
 3. Explicar los métodos de autenticación Digest, NTLMv2 y basado en formularios (esquema de
funcionamiento). Vulnerabilidades y ataques que pueden sufrir. Recomendaciones de
seguridad para la autenticación.

El método de autenticación Digest es uno de los métodos estándar mas utilizado en

servidores web, para autentificar las credenciales de los ususarios o navergadores web,
para crear un HASH que se enviará al servidor para poder identificarse, estas credenciales
se cifran antes de enviar garantizando de esta manera que nunca se transmitan en forma de
texto sin cifrar.

El métodos de autenticación NTLMv2 es un método que utiliza un procedimiento de desafío

y respuesta para autentificar a los participantes de la red, se considera una sesion de
seguridad mejorada proporcionando claves separadas para la confidencialidad e integridad
del mensaje, usando HASH basado en el algoritmo MD5.

Los métodos basados en formularios es un método donde el usuario se presenta con un

formulario que permite la introducción de credenciales de nombre de usuario y contraseña ,
estas credenciales se comparan con las credenciales en el sistema para este nombre de
usuario , y si coinciden, el ususario se considera un usuario autenticado en el sistema, por
motivos de seguridad esta contraseña se almacena en el sistema en forma de resumen
Digest.

(Responder en 5 caras)

This study source was downloaded by 100000878976721 from CourseHero.com on 01-15-2024 21:32:44 GMT -06:00

Código de exámen: 195767

https://www.coursehero.com/file/167503195/SEGURIDAD-EN-SISTEMAS-APLICACIONES-Y-EL-BIG-DATA-copiadocx/
Powered by TCPDF (www.tcpdf.org)