PARCIAL 2 Flashcards

1
Q

Distintas técnicas para distintos momentos del SDLC:

A
  • Modelado de amenazas.
  • Inspecciones y revisiones manuales.
  • Revisión de código.
  • Pruebas de penetración.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Cuando nos referimos al riesgo de “Diseño inseguro”, podemos afirmar que:

-La gestión de los requerimientos no es parte del diseño inseguro.

-Es posible identificar fallas de diseño analizando el código fuente de la aplicación.

-El diseño inseguro es la fuente de las otras 10 categorías.

-Establecer un ciclo de desarrollo seguro es una forma de mitigar el diseño inseguro.

A

Establecer un ciclo de desarrollo seguro es una forma de mitigar el diseño inseguro.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Cuando nos referimos al riesgo “Pérdida de Control de Acceso”, podemos afirmar que:

Se da cuando debido a una falla, no se cumple la política de acceso a los activos.
Un ejemplo de pérdida de control de acceso es eludir un control de acceso modificando un parámetro en la URL.
Un ejemplo es una inyección de SQL.
Un ejemplo es el uso de un componente obsoleto.

A

Se da cuando debido a una falla, no se cumple la política de acceso a los activos.
Un ejemplo de pérdida de control de acceso es eludir un control de acceso modificando un parámetro en la URL.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

El OWASP Top 10 se basa exclusivamente en datos estadísticos recopilados de análisis realizados desde 2017. (v, f)

A

Falso

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Cuando nos referimos a “Falsificación de Solicitudes del Lado del Servidor (SSRF)”, es correcto afirmar que;
-Las fallas de SSRF incluyen los pedidos originados en los navegadores de los clientes (Client Side).

-La implementación de reglas de firewall para el tráfico de salida de los servidores hacia Internet contribuye a la mitigación de estas fallas, aunque no las elimina por completo.

-Las fallas de SSRF ocurren cuando una aplicación web está obteniendo un recurso remoto sin validar la URL proporcionada por el usuario.

-Esta categoría es agregada al OWASP Top 10 como resultado de los datos estadísticos y no debido a la encuesta a la comunidad.

A

Las fallas de SSRF ocurren cuando una aplicación web está obteniendo un recurso remoto sin validar la URL proporcionada por el usuario.
La implementación de reglas de firewall para el tráfico de salida de los servidores hacia Internet contribuye a la mitigación de estas fallas, aunque no las elimina por completo.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Cuando nos referimos a las “Fallas de registro y monitoreo”, es correcto afirmar que:
Se deben generar eventos auditables en cada inicio de sesión (sea exitoso o no).

Las transacciones de alto valor deben de generar registros de logs.

Se debe establecer un mecanismo de generación de alertas ante actividad sospechosas.
Los registros almacenados únicamente de forma local es un tipo de falla de registro y monitoreo.

A

Se deben generar eventos auditables en cada inicio de sesión (sea exitoso o no).,

Las transacciones de alto valor deben de generar registros de logs.,

Los registros almacenados únicamente de forma local es un tipo de falla de registro y monitoreo.

Se debe establecer un mecanismo de generación de alertas ante actividad sospechosas.,

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Cuando nos referimos a las “Inyecciones”, podemos afirmar que:

Utilizando tecnologías de acceso a base de datos como ORM, no es posible que ocurran inyecciones.

Los Cross Site Scripting son partes de las inyecciones.

Un ejemplo es una inyección SQL.

Se producen cuando los datos ingresados no son validados ni sanitizados antes de ser procesados por un intérprete.

A

Se producen cuando los datos ingresados no son validados ni sanitizados antes de ser procesados por un intérprete.,
Un ejemplo es una inyección SQL.,

Los Cross Site Scripting son partes de las inyecciones.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Cuando nos referimos al riesgo de “Componentes vulnerables y desactualizados”, es correcto afirmar que:

Si una biblioteca alcanzó el fin de su vida útil (end of life) y no posee soporte, no es una debilidad.

Si no se utiliza la última versión liberada de todas las bibliotecas, se está ante una vulnerabilidad.

Para mitigar este riesgo, es necesario identificar las versiones de todo el software de base que permite la ejecución del sistema.

Para mitigar este riesgo, es necesario conocer las versiones de todos los componentes de terceros que integran el sistema.

A

Para mitigar este riesgo, es necesario conocer las versiones de todos los componentes de terceros que integran el sistema.,

Para mitigar este riesgo, es necesario identificar las versiones de todo el software de base que permite la ejecución del sistema.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Cuando nos referimos a “Fallas de identificación y autenticación”, es correcto afirmar que:
Ocurren cuando no se puede verificar la identidad del tercero que está utilizando el sistema.
El uso de una misma contraseña en múltiples aplicaciones no relacionadas entre sí no constituye un riesgo significativo.

Los problemas asociados con la gestión de sesiones están incluidos en este punto.
Como medida de mitigación, se recomienda implementar un mecanismo de gestión de sesiones propio, en lugar de utilizar el proporcionado por el lenguaje, servidor o plataforma.

A

Ocurren cuando no se puede verificar la identidad del tercero que está utilizando el sistema.,

Los problemas asociados con la gestión de sesiones están incluidos en este punto.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Sobre los datos que se utilizaron para confeccionar el OWASP Top 10: cualquier organización que desee contribuir puede hacerlo.

(V, F)

A

Verdadero

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Cuando nos referimos a las “Fallas criptográficas”, podemos afirmar que:

Un ejemplo es una inyección SQL.
Sucede cuando se almacenan contraseñas en texto plano en una base de datos.
Se utilizan algoritmos criptográficos antiguos, considerados actualmente débiles es una falla criptográfica.
Se da cuando se utilizan correctamente los mecanismos criptográficos para proteger los datos tanto en tránsito como en reposo.

A

Se utilizan algoritmos criptográficos antiguos, considerados actualmente débiles es una falla criptográfica.,
Sucede cuando se almacenan contraseñas en texto plano en una base de datos.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

OWASP Top 10 como estándar:

A pesar de que su objetivo no es ser un estándar, la industria lo utiliza como tal.
Es un documento de concientización, no un estándar.
Es preferible utilizar otros estándares de verificación de seguridad, como el Estándar de Verificación de Seguridad en Aplicaciones de OWASP (ASVS)..

A

Es un documento de concientización, no un estándar.,
A pesar de que su objetivo no es ser un estándar, la industria lo utiliza como tal.,
Es preferible utilizar otros estándares de verificación de seguridad, como el Estándar de Verificación de Seguridad en Aplicaciones de OWASP (ASVS)..

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Cuando nos referimos al riesgo de “Configuración de Seguridad Incorrecta”, podemos afirmar que:

Para mitigar las configuraciones de seguridad incorrectas, es esencial implementar un proceso de configuración detallado y repetible.
Que se encuentren habilitados los pares de usuarios y contraseñas que se indican en el manual de usuario de a aplicación no es un problema configuración de seguridad incorrecta.
Exponer funciones innecesarias y habilitadas no es un problema de configuración de seguridad incorrecta, ya que es parte del diseño original del software.

Una configuración de seguridad incorrecta puede manifestarse a través de la exposición de rastros de pila (stack traces) u otros mensajes de error que revelen excesiva información.

A

Una configuración de seguridad incorrecta puede manifestarse a través de la exposición de rastros de pila (stack traces) u otros mensajes de error que revelen excesiva información.,

Para mitigar las configuraciones de seguridad incorrectas, es esencial implementar un proceso de configuración detallado y repetible.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Cuando nos referimos a las “Fallas del software y en la integridad de los datos”, es correcto afirmar que:

El origen de paquetes de terceros no es relevante si son descargados utilizando un gestor de paquetes como NPM o Maven.
Firmar digitalmente el software permite verificar que proviene de un lugar confiable y que no ha sido modificado.
Incluye los accesos indebidos a los procesos de Integración Continua y Despliegue Continuo (CI/CD).
La deserialización insegura no es parte de este punto, sino que es una inyección.

A

Firmar digitalmente el software permite verificar que proviene de un lugar confiable y que no ha sido modificado.,

Incluye los accesos indebidos a los procesos de Integración Continua y Despliegue Continuo (CI/CD).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Con respecto a la relación entre OWASP Top 10 2021 y los CWE (Common Weakness Enumeration).
Los CWE más comunes se agrupan en los distintos puntos del OWASP Top 10 (lista de los 30 más comunes).
No existe relación alguna.

Los CWE se agrupan en los distintos puntos del OWASP Top 10. Aquellos más prevalentes son los que forman parte del top 10.

A

Los CWE se agrupan en los distintos puntos del OWASP Top 10. Aquellos más prevalentes son los que forman parte del top 10.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Proceso del Modelado de Amenazas

A
  1. Composición equipo de desarrollo.
    1. Descomposición de la aplicación.
    1. Determinar y analizar amenazas.
    1. Ordenar según riesgo decreciente.
    1. Elegir estrategia de mitigación.
17
Q

Que es un DFD?

A

Un Diagrama de Flujo de Datos es una representación que modela los componentes de un sistema, junto con la manera en que los datos fluyen entre ellos.

18
Q

Diga S.T.R.I.D.E.

A
  • Spoofing Identity -> Permiten a un atacante hacerse pasar por un usuario legítimo, o a un servidor malicioso hacerse pasar por uno legítimo.
  • Tampering with Data -> Modificación no autorizada de datos almacenados o en tránsito.
  • Repudiation -> Denegar acciones sin que la contraparte tenga posibilidades de probarlo.
  • Information Disclosure -> Pérdida de la confidencialidad. Revelar información a partes no autorizadas.
  • Denial of Service -> Impedir que se brinde el servicio a usuarios legítimos.
  • Elevation of Privilege -> Obtener mayores privilegios para un usuario limitado, que le permitan
    acciones administrativas sobre el sistema.
19
Q

Árboles de ataque, que describe?

A
  • Una aplicación se compone de diferentes Objetivos de Ataque.
    Cada Objetivos de Ataque se asocia con vulnerabilidades que al ser
    explotadas pueden comprometer el sistema.
  • El árbol de amenaza describe el proceso lógico del potencial ataque.
20
Q

Cálculo de riesgo

A

RIESGO = Probabilidad de Ocurrencia x Impacto

21
Q

D.R.E.A.D.
Contexto

A

Es un acrónimo utilizado para describir una metodología que permite
evaluar y clasificar amenazas y riesgos en sistemas o aplicaciones.

  • Damage (Daño)
  • Reproducibility (Reproducibilidad)
  • Exploitability (Explotabilidad)
  • Affected users (Usuarios afectados)
  • Discoverability (Detectabilidad)
22
Q

Estrategia de mitigación

A
  • No hacer nada (asumir riesgo).
  • Alertar al usuario.
  • Eliminar el problema.
  • Arreglar el problema.
23
Q

Beneficios de
Static Application Security Testing

A

Identificación temprana de bugs

24
Q

Static Application Security Testing
Limitantes

A

Solo detectan bugs conocidos.
* Reglas, patrones, heurísticas, pero siempre definidas previamente.
* Lo desconocido generalmente hace más daño que lo conocido.
* Criterios de parada.
* ¿Qué significa “No se encontraron más bugs”?
* Es necesario realizar una evaluación humana de los resultados obtenidos
con la herramienta.
* ¡Nuevamente hay que realizar Análisis de Riesgos emergentes!
* Diseño:
* Directamente no aplica al análisis de diseño.
* Imperfecciones:
* Es necesario hacer aproximaciones para el análisis y eso da resultados
imperfectos.

25
Q

Limitantes: Imperfecciones

A

Falsos positivos
Falsos negativos

26
Q

Cuales son las estrategias para las herramientas de Static Application Security Testing

A

Firme (sound)
* No produce falsos negativos.
No firme (unsound)
* Reducen los hallazgos de falsos positivos al costo de dejar pasar algún
falso negativo.

27
Q

Que es AST

A

Abstract Syntax Trees