¿Qué categoría de las OWASP Top 10 de 2021, ahora ocupa el primer lugar, desplazando a la categoría de inyección que dominó en ediciones anteriores?

A01:2021- Broken Access Control

A04:2021- SECURTIY Misconfiguration

A02:2021- Crytographic Failures

Un atacante obtiene acceso físico al dispositivo de un usuario y extrae las credenciales almacenadas de la aplicacón móvil. El atacante utiliza estas credenciales para obtener acceso no autorizado a la cuenta del usuario. ¿A qué categoría del OWASP Mobile Top10 corresponde el ejemplo anterior?

Seguridad inadecuada en la cadena de suministro

Validación de entrada y salida insuficiente

En el contexto de componentes vulnerables y desactualizados ¿Qué herramienta es recomendada para supervisar continuamente fuentes como CVE y NVD?

Dynamic Application Security Testing (DAST)

Security Information and Event Management(SIEM)

Static Application Security Testing

En el contexto de la seguridad de aplicaciones web, ¿Qué implica un ataque de "inyección"?

Envío de comandos no autorizados a través de una aplicación comandos

Inserción de malware en el servidor de la aplicación web

Acceso no autorizado a datos mediante la explotación de cookies

Interrupción del servicios web mediante solicitudes masivas

Seleccione 2 estrategias a utilizar para evitar ser vulnerable a Security Logging and Monitoring Failures

Asegúrese de que las transacciones de alto valor poseen un seguimiento de auditoría.

Los equipos de DevSecOps debe establecer alertas y monitoreo efectivo

Aceptar configuraciones predeterminadas que no son seguras

Límite o incremente el tiempo de espera entre intentos fallidos e inicio de sesión

¿Cuál de las siguientes es una forma de evitar amenazas de tipo identification and authentication failures?

Limite o incremente el tiempo de espera entre intentos fallidos de inicio de sesión

Realice un inventario continuo de las versiones de los componentes

Se requiere separar los datos de los comandos y las consultas

SECCION II ¿Qué es una función hash en el contexto de la encriptación de datos?

Un algoritmo que convierte los datos en un valor de longitud fija

Un método para crear una copia exacta de los datos

Una técnica para aumentar la velocidad de transmisión de datos

Un procedimiento para comprimir archivos de datos

De acuerdo al estandar OWASP MASVS, ¿Qué categoría establece controles que cubren el uso seguro de los mecanismos IPC proporcionados por la plataforma, las configuraciones de WebView para evitar la fuga de datos confidenciales y la exposición a la funcionalidad y la visualización segura de datos confidenciales en la interfaz de usuario de la aplicación?

MASVS-PLATAFORM(Controles de seguridad de Plataforma)

MASVS-STORAGE(Controles de seguridad de Almacenamiento)

MASVS-AUTH(Controles de seguridad de Autenticación)

MASVS-CODE(Controles de seguridad de código)

Monitorear y registrar el acceso a flujos comerciales confidenciales para detectar y responder a actividades no autorizadas o sospechosas. Realizar pruebas de seguridad periódicas, incluidas pruebas de penetración y revisiones de código, para identificar y abordar las vulnerabilidades relacionadas con el acceso sin restricciones a flujos comerciales confidenciales. ¿Los anteriores son ejemplos de soluciones ante cúal de las categorías del OWASP API Security Top 10?

Unrestricted Access to Sensitive Business Flows

Broken Object Property Level Authorization

Broken Function Level Authorization

Unrestricted Resource Consumption

¿Cómo se deben proteger las claves SSH de API en un entorno de nube?

Eliminándolas del código fuente y asegurando el acceso solo a aplicaciones autorizadas

Incrustándolas directamente en el código fuente de las aplicaciones

Almacenándolas en repositorios públicos para un acceso fácil

Usando un única clave SSH para todos los servicios en la nube

¿Qué estrategia es recomendada para asegurar la integridad de las bibliotecas y dependencias en proyectos de alto riesgo?

Alojar las bibliotecas en un repositorio internos previamente analizando

Restringir el acceso a las bibliotecas a desarrolladores senior.

Usar siempre la versión más reciente de las bibliotecas

Implementar un servicio de proxy para todas las bibliotecas

¿Qué se busca al clasificar los riesgos en seguridad informática?

Priorizar los controles basándose en la gravedad de la amenaza.

Determinar el presupuesto del proyecto

Establecer la programación del desarrollo de software.

Seleccionar el personal para el proyecto

¿Qué control garantiza que estos datos no terminen filtrándose involuntariamente debido a mecanismo como capturas de pantalla generadas automáticamente o divulgadas accidentalmente?

MASVS-PLATAFORM(Controles de seguridad de Plataforma)

MASVS-STORAGE(Controles de seguridad de Almacenamiento)

MASVS-AUTH(Controles de seguridad de Autenticación)

MASVS-CODE(Controles de seguridad de código)

El código back-end que procesa la solicitud no se molesta en verificar que la identidad asociada con una solicitud tiene derecho a ejecutar el servicio. Por lo tanto, los atacantes pueden acceder a funcionalidad administrativa remota utilizando cuentas de usuario con privilegios bastante bajos. ¿A qué categoría del OWASP Mobile Top 10 corresponde el ejemplo anterior?

Validación de entrada y salida

Seguridad inadecuada en la cadena de suministro

Implementar la limitación de recursos y de velocidad Implementar cuotas y límites de uso Monitorear y analizar el uso de recursos ¿Los anteriores son ejemplos de soluciones ante cúal de las categorías del OWASP API Security Top 10?

Unrestricted Resource Consumption

¿Qué estrategia es esencial para proteger las imágenes de contenedor?

Administrar acceso y promoción de imágenes mediante un registro privado

Usar siempre imágenes públicas sin revisión

Permitir el acceso anónimo a todas las imágenes de contenedor

Evitar el uso de metadatos para rastrear vulnerabilidades en las imágenes

Algunos ejemplos de estas vulnerabilidades incluyen el uso de múltiples versiones de API, la exposición de API de desarrollo, políticas de control de acceso incorrectas etc.

Unrestricted Resource Consumption

Lista blanca de URL o direcciones IP permitidas para restringir los destinos de las solicitudes del lado del servidor. Utilice bibliotecas o funciones de análisis de URL que impongan una validación estricta y sólo permitan URL válidas. ¿Los anteriores son ejemplos de soluciones ante cuál de las categorías del OWASP API Security Top 10?

Broken Object Level Autorization

Unrestricted Resource Consumption

Unrestricted Access to Sensitive Business Flows

¿Qué estrategia se puede utilizar cuando una aplicación móvil requiere más procesamiento del que puede admitir una plataforma móvil típica? 1/1

Mover el procesamiento a la nube

Usar exclusivamente datos locales

Reducir la funcionalidad de la aplicación

Limitar el acceso a la aplicación

¿Cuál de las siguientes es una medidas de seguridad eficaz para proteger aplicaciones web contra vulnerabilidades comunes?

Uso exclusivo de HTTPs para todas las transacciones.

Uso de un cortafuegos de aplicaciones web(WAF)

Implementar únicamente autentificación de usuario basada en contraseña

Limitar el acceso a la aplicación web solo a ciertas horas del día

¿Qué es la criptografía asímétrica?

Una técnica de cifrado que usa claves diferentes para cifrar y descifrar datos

Una forma de cifrado que no requiere claves

Un método que utiliza la misma clave para cifrar y descifrar datos.

Un algoritmo de cifrado basado en la sustitución de caracteres

Un atacante inyecta malware en una aplicación móvil popular durante la fase de desarrollo. Luego, el atacante firma la aplicación con un certificado válido y lo distribuye a la tienda de aplicaciones, evitando los controles de seguridad de la tienda de aplicaciones. Los usuarios descargan e instalan la aplicación infectada, que roba sus credenciales de inicio de sesión y otros datos confidenciales. ¿A que categoría del OWASP Mobile Top10 corresponde el ejemplo anterior?

Seguridad inadecuada en la cadena de suministro

Validaciones de entrada y salida

¿Cuál es una de las razones fundamentales por las que la seguridad en aplicaciones web es crucial en el mundo actual?

La dependencia de las aplicaciones para funciones escenciales como banca en línea y trabajo remoto.

El alto costo de desarrollo de aplicaciones web

La popularidad de las aplicaciones web en redes sociales.

La facilidad de acceso a las aplicaciones web desdes dispositivos móviles

En el contexto de seguridad de contenedores¿Cuál es la importancia de utilizar un registro privado?

Proporciona control de acceso basado en roles y ayuda a rastrear vulnerabilidades

Evita la necesidad de actualizar las imágenes de contenedor

Permite el acceso público a las imágenes de contenedor para facilitar la colaboración

Permite la integración con cualquier herramienta de CI/CD sin restricciones de seguridad

¿Que tipo de comprobación de seguridad se debería de aplicar en la etapa de Building de un pipeline de acuerdo a DevSecOps?

Uso de herramienta de pruebas de aplicaciones estáticas(SAST)

Uso de herramienta de pruebas dinámicas de seguridad de aplicaciones(DAST)

¿Qué tipo de comprobación de seguridad se debería de aplicar en la etapa de Codificación de acuerdo a DevSecOps?

Uso de herramientas de pruebas de aplicaciones estáticas(SAST)

Uso de herramientas de pruebas dinámicas de seguridad de aplicaciones (DAST)

DESARROLLO SEGURO Q1

Authored by Irwing López

Science

Professional Development

Used 3+ times

AI Actions

Add similar questions

Adjust reading levels

Convert to real-world scenario

Translate activity

More...

Content View

Student View

45 questions

Show all answers

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

La aplicación móvil almacena en caché datos confidenciales, como tokens de autenticación de usuario o información de sesión, sin implementar las medidas de seguridad adecuadas. Si un atacante obtiene acceso a la memoria cache del dispositivo, puede obtener estas credenciales y hacerse pasar por el usuario.
¿A qué categoría del OWASP Mobile Top 10 corresponde el ejemplo anterior?

almacenamiento de datos inseguro

criptografía insuficiente

Protección binaria insuficiente

Autenticación/autorización insegura

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

¿Cuáles serían las tareas de seguridad en la etapa de pruebas de verificación y validación?}

Documentación de la superficie de ataque

Realización de plan de incidentes

Aplicación de estándares de desarrollo

Análisis dinámico sobre la aplicación y revisiones de código

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

De acuerdo al OWASP API Security Top 10 ¿Qué tipo de vulnerabilidades permiten a los atacantes acceder a objetos de datos(cuyo acceso debería haberse restringido)?

Unrestricted Resource Comsumption

Unrestricted Access to Sensitive Business now

Server Side Request Forgery

Broken Object Level Authorization

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

Las debilidades en la lógica de las aplicaciones no se limitan a fallos en la implementación por parte de los desarrolladores. Estas surgen cuando la aplicación responde de manera inesperada ante desviaciones del comportamiento estándar de una función ya sea originadas por un usuario convencional o un agente con intenciones maliciosas

verdadero

falso

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

¿Cómo se denomina al proceso de evaluar los controles de seguridad de la información e implementar el proceso y las herramientas correctas en los sistemas de TI para proteger los datos que utiliza y almacena una organización

Análisis post mortem

Modelo de amenazas

Arquitectura de seguridad

Prioridad de las amenazas

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

En el modelo de responsabilidad compartida ¿Qué aspecto de la seguridad en la nube es responsabilidad del cliente?

La actualización de los servicios de almacenamiento en la nube

La seguridad de la infraestructura de la red del proveedor

La seguridad física de los centros de datos

La gestión de la seguridad de las aplicaciones y datos en la nube

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

¿Qué es una auditoría de seguridad en el contexto de TI?

La evaluación sistemática de la efectividad de las medidas de seguridad

La actualización de sistemas operativos y aplicaciones

La formación de empleados en prácticas de seguridad

La implementación de nuevas tecnologías de seguridad

Access all questions and much more by creating a free account

Create resources

Host any resource

Get auto-graded reports

Continue with Google

Continue with Email

Continue with Classlink

Continue with Clever

or continue with

Microsoft

Apple

Others

Already have an account?

Similar Resources on Wayground

41 questions

Examination 2382-10 Questions

Quiz

•

Professional Development

48 questions

Cuestionario sin título

Quiz

•

Professional Development

40 questions

TEST1. UT4. PCZ

Quiz

•

Professional Development

40 questions

Ca 1

Quiz

•

Professional Development

40 questions

ELIMINATION ROUND

Quiz

•

Professional Development

41 questions

Prueba de Ciencias Naturales

Quiz

•

Professional Development

45 questions

Moneda y Banca Quiz

Quiz

•

Professional Development

50 questions

Liderlik

Quiz

•

Professional Development

Popular Resources on Wayground

15 questions

Fractions on a Number Line

Quiz

•

3rd Grade

14 questions

Boundaries & Healthy Relationships

Lesson

•

6th - 8th Grade

13 questions

SMS Cafeteria Expectations Quiz

Quiz

•

6th - 8th Grade

20 questions

Equivalent Fractions

Quiz

•

3rd Grade

25 questions

Multiplication Facts

Quiz

•

5th Grade

12 questions

SMS Restroom Expectations Quiz

Quiz

•

6th - 8th Grade

20 questions

Main Idea and Details

Quiz

•

5th Grade

10 questions

Pi Day Trivia!

Quiz

•

6th - 9th Grade

Discover more resources for Science

20 questions

90s Cartoons

Quiz

•

Professional Development

5 questions

Workplace Documents Practice Test: Document 1

Quiz

•

Professional Development

5 questions

Workplace Documents Practice Test: Document 2

Quiz

•

Professional Development

10 questions

March Quiz

Quiz

•

Professional Development

5 questions

Copy of G5_U6_L8_22-23

Lesson

•

KG - Professional Dev...

DESARROLLO SEGURO Q1

¿Cuáles serían las tareas de seguridad en la etapa de pruebas de verificación y validación?}

De acuerdo al OWASP API Security Top 10 ¿Qué tipo de vulnerabilidades permiten a los atacantes acceder a objetos de datos(cuyo acceso debería haberse restringido)?

¿Cómo se denomina al proceso de evaluar los controles de seguridad de la información e implementar el proceso y las herramientas correctas en los sistemas de TI para proteger los datos que utiliza y almacena una organización

En el modelo de responsabilidad compartida ¿Qué aspecto de la seguridad en la nube es responsabilidad del cliente?

¿Qué es una auditoría de seguridad en el contexto de TI?

¿Qué categoría de las OWASP Top 10 de 2021, ahora ocupa el primer lugar, desplazando a la categoría de inyección que dominó en ediciones anteriores?

Una validación de salida inadecuada puede provocar daños en los datos o vulnerabilidades en la presentación , lo que permite a los actores malintencionados inyectar código malintencionado o manipular información confidencial que se muestra a los usuarios

¿Qué tipo de nube proporciona mayores controles de seguridad?

Access all questions and much more by creating a free account

Similar Resources on Wayground

Popular Resources on Wayground

Discover more resources for Science