PARCIAL 2

Question 1

Distintas técnicas para distintos momentos del SDLC:

Answer 1

• Modelado de amenazas.
• Inspecciones y revisiones manuales.
• Revisión de código.
• Pruebas de penetración.

Question 2

Cuando nos referimos al riesgo de “Diseño inseguro”, podemos afirmar que:

-La gestión de los requerimientos no es parte del diseño inseguro.

-Es posible identificar fallas de diseño analizando el código fuente de la aplicación.

-El diseño inseguro es la fuente de las otras 10 categorías.

-Establecer un ciclo de desarrollo seguro es una forma de mitigar el diseño inseguro.

Answer 2

Establecer un ciclo de desarrollo seguro es una forma de mitigar el diseño inseguro.

Question 3

Cuando nos referimos al riesgo “Pérdida de Control de Acceso”, podemos afirmar que:

Se da cuando debido a una falla, no se cumple la política de acceso a los activos.
Un ejemplo de pérdida de control de acceso es eludir un control de acceso modificando un parámetro en la URL.
Un ejemplo es una inyección de SQL.
Un ejemplo es el uso de un componente obsoleto.

Answer 3

Se da cuando debido a una falla, no se cumple la política de acceso a los activos.
Un ejemplo de pérdida de control de acceso es eludir un control de acceso modificando un parámetro en la URL.

Question 4

El OWASP Top 10 se basa exclusivamente en datos estadísticos recopilados de análisis realizados desde 2017. (v, f)

Answer 4

Falso

Question 5

Cuando nos referimos a “Falsificación de Solicitudes del Lado del Servidor (SSRF)”, es correcto afirmar que;
-Las fallas de SSRF incluyen los pedidos originados en los navegadores de los clientes (Client Side).

-La implementación de reglas de firewall para el tráfico de salida de los servidores hacia Internet contribuye a la mitigación de estas fallas, aunque no las elimina por completo.

-Las fallas de SSRF ocurren cuando una aplicación web está obteniendo un recurso remoto sin validar la URL proporcionada por el usuario.

-Esta categoría es agregada al OWASP Top 10 como resultado de los datos estadísticos y no debido a la encuesta a la comunidad.

Answer 5

Las fallas de SSRF ocurren cuando una aplicación web está obteniendo un recurso remoto sin validar la URL proporcionada por el usuario.
La implementación de reglas de firewall para el tráfico de salida de los servidores hacia Internet contribuye a la mitigación de estas fallas, aunque no las elimina por completo.

Question 6

Cuando nos referimos a las “Fallas de registro y monitoreo”, es correcto afirmar que:
Se deben generar eventos auditables en cada inicio de sesión (sea exitoso o no).

Las transacciones de alto valor deben de generar registros de logs.

Se debe establecer un mecanismo de generación de alertas ante actividad sospechosas.
Los registros almacenados únicamente de forma local es un tipo de falla de registro y monitoreo.

Answer 6

Se deben generar eventos auditables en cada inicio de sesión (sea exitoso o no).,

Las transacciones de alto valor deben de generar registros de logs.,

Los registros almacenados únicamente de forma local es un tipo de falla de registro y monitoreo.

Se debe establecer un mecanismo de generación de alertas ante actividad sospechosas.,

Question 7

Cuando nos referimos a las “Inyecciones”, podemos afirmar que:

Utilizando tecnologías de acceso a base de datos como ORM, no es posible que ocurran inyecciones.

Los Cross Site Scripting son partes de las inyecciones.

Un ejemplo es una inyección SQL.

Se producen cuando los datos ingresados no son validados ni sanitizados antes de ser procesados por un intérprete.

Answer 7

Se producen cuando los datos ingresados no son validados ni sanitizados antes de ser procesados por un intérprete.,
Un ejemplo es una inyección SQL.,

Los Cross Site Scripting son partes de las inyecciones.

Question 8

Cuando nos referimos al riesgo de “Componentes vulnerables y desactualizados”, es correcto afirmar que:

Si una biblioteca alcanzó el fin de su vida útil (end of life) y no posee soporte, no es una debilidad.

Si no se utiliza la última versión liberada de todas las bibliotecas, se está ante una vulnerabilidad.

Para mitigar este riesgo, es necesario identificar las versiones de todo el software de base que permite la ejecución del sistema.

Para mitigar este riesgo, es necesario conocer las versiones de todos los componentes de terceros que integran el sistema.

Answer 8

Para mitigar este riesgo, es necesario conocer las versiones de todos los componentes de terceros que integran el sistema.,

Para mitigar este riesgo, es necesario identificar las versiones de todo el software de base que permite la ejecución del sistema.

Question 9

Cuando nos referimos a “Fallas de identificación y autenticación”, es correcto afirmar que:
Ocurren cuando no se puede verificar la identidad del tercero que está utilizando el sistema.
El uso de una misma contraseña en múltiples aplicaciones no relacionadas entre sí no constituye un riesgo significativo.

Los problemas asociados con la gestión de sesiones están incluidos en este punto.
Como medida de mitigación, se recomienda implementar un mecanismo de gestión de sesiones propio, en lugar de utilizar el proporcionado por el lenguaje, servidor o plataforma.

Answer 9

Ocurren cuando no se puede verificar la identidad del tercero que está utilizando el sistema.,

Los problemas asociados con la gestión de sesiones están incluidos en este punto.

Question 10

Sobre los datos que se utilizaron para confeccionar el OWASP Top 10: cualquier organización que desee contribuir puede hacerlo.

(V, F)

Answer 10

Verdadero

Question 11

Cuando nos referimos a las “Fallas criptográficas”, podemos afirmar que:

Un ejemplo es una inyección SQL.
Sucede cuando se almacenan contraseñas en texto plano en una base de datos.
Se utilizan algoritmos criptográficos antiguos, considerados actualmente débiles es una falla criptográfica.
Se da cuando se utilizan correctamente los mecanismos criptográficos para proteger los datos tanto en tránsito como en reposo.

Answer 11

Se utilizan algoritmos criptográficos antiguos, considerados actualmente débiles es una falla criptográfica.,
Sucede cuando se almacenan contraseñas en texto plano en una base de datos.

Question 12

OWASP Top 10 como estándar:

A pesar de que su objetivo no es ser un estándar, la industria lo utiliza como tal.
Es un documento de concientización, no un estándar.
Es preferible utilizar otros estándares de verificación de seguridad, como el Estándar de Verificación de Seguridad en Aplicaciones de OWASP (ASVS)..

Answer 12

Es un documento de concientización, no un estándar.,
A pesar de que su objetivo no es ser un estándar, la industria lo utiliza como tal.,
Es preferible utilizar otros estándares de verificación de seguridad, como el Estándar de Verificación de Seguridad en Aplicaciones de OWASP (ASVS)..

Question 13

Cuando nos referimos al riesgo de “Configuración de Seguridad Incorrecta”, podemos afirmar que:

Para mitigar las configuraciones de seguridad incorrectas, es esencial implementar un proceso de configuración detallado y repetible.
Que se encuentren habilitados los pares de usuarios y contraseñas que se indican en el manual de usuario de a aplicación no es un problema configuración de seguridad incorrecta.
Exponer funciones innecesarias y habilitadas no es un problema de configuración de seguridad incorrecta, ya que es parte del diseño original del software.

Una configuración de seguridad incorrecta puede manifestarse a través de la exposición de rastros de pila (stack traces) u otros mensajes de error que revelen excesiva información.

Answer 13

Una configuración de seguridad incorrecta puede manifestarse a través de la exposición de rastros de pila (stack traces) u otros mensajes de error que revelen excesiva información.,

Para mitigar las configuraciones de seguridad incorrectas, es esencial implementar un proceso de configuración detallado y repetible.

Question 14

Cuando nos referimos a las “Fallas del software y en la integridad de los datos”, es correcto afirmar que:

El origen de paquetes de terceros no es relevante si son descargados utilizando un gestor de paquetes como NPM o Maven.
Firmar digitalmente el software permite verificar que proviene de un lugar confiable y que no ha sido modificado.
Incluye los accesos indebidos a los procesos de Integración Continua y Despliegue Continuo (CI/CD).
La deserialización insegura no es parte de este punto, sino que es una inyección.

Answer 14

Firmar digitalmente el software permite verificar que proviene de un lugar confiable y que no ha sido modificado.,

Incluye los accesos indebidos a los procesos de Integración Continua y Despliegue Continuo (CI/CD).

Question 15

Con respecto a la relación entre OWASP Top 10 2021 y los CWE (Common Weakness Enumeration).
Los CWE más comunes se agrupan en los distintos puntos del OWASP Top 10 (lista de los 30 más comunes).
No existe relación alguna.

Los CWE se agrupan en los distintos puntos del OWASP Top 10. Aquellos más prevalentes son los que forman parte del top 10.

Answer 15

Los CWE se agrupan en los distintos puntos del OWASP Top 10. Aquellos más prevalentes son los que forman parte del top 10.

Question 16

Proceso del Modelado de Amenazas

Answer 16

1. Composición equipo de desarrollo.
2. 2. Descomposición de la aplicación.
3. 3. Determinar y analizar amenazas.
4. 4. Ordenar según riesgo decreciente.
5. 5. Elegir estrategia de mitigación.

Question 17

Que es un DFD?

Answer 17

Un Diagrama de Flujo de Datos es una representación que modela los componentes de un sistema, junto con la manera en que los datos fluyen entre ellos.

Question 18

Diga S.T.R.I.D.E.

Answer 18

• Spoofing Identity -> Permiten a un atacante hacerse pasar por un usuario legítimo, o a un servidor malicioso hacerse pasar por uno legítimo.
• Tampering with Data -> Modificación no autorizada de datos almacenados o en tránsito.
• Repudiation -> Denegar acciones sin que la contraparte tenga posibilidades de probarlo.
• Information Disclosure -> Pérdida de la confidencialidad. Revelar información a partes no autorizadas.
• Denial of Service -> Impedir que se brinde el servicio a usuarios legítimos.
• Elevation of Privilege -> Obtener mayores privilegios para un usuario limitado, que le permitan
  acciones administrativas sobre el sistema.

Question 19

Árboles de ataque, que describe?

Answer 19

• Una aplicación se compone de diferentes Objetivos de Ataque.
  Cada Objetivos de Ataque se asocia con vulnerabilidades que al ser
  explotadas pueden comprometer el sistema.
• El árbol de amenaza describe el proceso lógico del potencial ataque.

Question 20

Cálculo de riesgo

Answer 20

RIESGO = Probabilidad de Ocurrencia x Impacto

Question 21

D.R.E.A.D.
Contexto

Answer 21

Es un acrónimo utilizado para describir una metodología que permite
evaluar y clasificar amenazas y riesgos en sistemas o aplicaciones.

• Damage (Daño)
• Reproducibility (Reproducibilidad)
• Exploitability (Explotabilidad)
• Affected users (Usuarios afectados)
• Discoverability (Detectabilidad)

Question 22

Estrategia de mitigación

Answer 22

• No hacer nada (asumir riesgo).
• Alertar al usuario.
• Eliminar el problema.
• Arreglar el problema.

Question 23

Beneficios de
Static Application Security Testing

Answer 23

Identificación temprana de bugs

Question 24

Static Application Security Testing
Limitantes

Answer 24

Solo detectan bugs conocidos.
* Reglas, patrones, heurísticas, pero siempre definidas previamente.
* Lo desconocido generalmente hace más daño que lo conocido.
* Criterios de parada.
* ¿Qué significa “No se encontraron más bugs”?
* Es necesario realizar una evaluación humana de los resultados obtenidos
con la herramienta.
* ¡Nuevamente hay que realizar Análisis de Riesgos emergentes!
* Diseño:
* Directamente no aplica al análisis de diseño.
* Imperfecciones:
* Es necesario hacer aproximaciones para el análisis y eso da resultados
imperfectos.

Question 25

Limitantes: Imperfecciones

Answer 25

Falsos positivos
Falsos negativos

Question 26

Cuales son las estrategias para las herramientas de Static Application Security Testing

Answer 26

Firme (sound)
* No produce falsos negativos.
No firme (unsound)
* Reducen los hallazgos de falsos positivos al costo de dejar pasar algún
falso negativo.

Question 27

Que es AST

Answer 27

Abstract Syntax Trees