TEST TEMA 1.

1. ¿Cuáles son los objetivos de seguridad de los sistemas TIC? R.- No repudio, trazabilidad, autenticación, autorización y control de
acceso, confidencialidad, disponibilidad e integridad
2. ¿Cuáles son los tipos de vulnerabilidades que un sistema puede tener? R.- Diseño, implementación y operación.
3. Señala la afirmación correcta R.- C#, Java, Python, Ruby o dialectos de C como CCured y Cyclone son lenguajes que fuerzan la
comprobación de tipos y de memoria de forma que su gestión sea segura.
4. Señala la afirmación falsa R.- Todas las anteriores son falsas.
5. Señala la afirmación falsa R.- La comunicación entre el motor Ajax y el servidor de aplicaciones es síncrona.
6. Señala la afirmación correcta R.- La mayoría de los lenguajes de script no se encuentran sólidamente tipificados y no promueven
buenas prácticas de programación.
7. Señala la información correcta R.- SQLI es una vulnerabilidad de implementación o desarrollo.
8. Señala cuál es una vulnerabilidad de diseño R.- TOCTOU
9. Señala la opción incorrecta en cuanto a los problemas de seguridad en las aplicaciones web R.- No es necesaria la validación de la
salida en el código del lado del servidor.
10. Señala cuál es una vulnerabilidad de implementación R.- Todas las anteriores son ciertas (XXS, SQLI, CSRF)

TEST TEMA 2
1. ¿Cuáles son los principios de seguridad en los que debe basarse toda política de seguridad?R.- Profundidad en la defensa, mínimos
privilegios, diversidad de la defensa, gestión centralizada, simplicidad, identificación de puntos débiles, cierre completo de
accesos ante incidentes.
2. ¿Cuál es el modelo de desarrollo de software seguro de Microsoft?R.- SDL
3. ¿En qué fase se debe realizar un test de penetración a una App? Web? R.- Pruebas
4. La derivación de requisitos de seguridad depende de R.- Del análisis de riesgos.
5. ¿Cuál es uno de los pilares de la seguridad organizativa? R.- SGSI
6. ¿Cuál es la principal característica de un SGSI? R.- Es cíclico, se basa en monitorización continua.
7. ¿Cuál es el pilar de la seguridad que debe adoptarse para implementar la seguridad de una aplicación web desde el principio del
desarrollo? R.- OWASP
8. ¿Cuáles son las fases genéricas de implantación de una política de seguridad?es R.- Implementación, monitorización, análisis de
vulnerabilidades.
9. ¿Qué procedimiento de seguridad en fase de producción está muy relacionado con la actividad de monitorización continua? R.-
Backup y recuperación.
10. Antes del test de penetración, ¿qué actividades de seguridad hay que llevar a cabo? R.- Análisis de seguridad del código fuente.

TEST TEMA 3
1. ¿Cuáles de las siguientes son vulnerabilidades del tipo inyección? R.- SQLI
2. ¿Cuál de los siguientes es ejemplo de ataque XSS? R.- ../../template.ini.
3. ¿Cómo se previene SQLI? R.- Análisis de código.
4. Path traversal o inclusión de ficheros R.- La A y C (Permite acceder a recursos del sistema de ficheros no permitidos. Permite robo
de credenciales.
5. ¿Cuál es el principal objetivo de XSS? R.- Sistema de ficheros del servidor.
6. ¿Cuál es el objetivo de CSRF? R.- Es cíclico, se basa en monitorización continua
7. ¿A qué formato afecta la deserialización insegura? R.- ARRAY JAVASCRIPT.
8. ¿Path traversal es una vulnerabilidad de la categoría? R.- Inyección
9. Una vulnerabilidad CVE R.- Es pública conocida.
10. HTTP response splitting es una vulnerabilidad que puede suponer R.- Inyección de código JAVASCRIPT.