# Pregunta Respuesta

¿Cuál de los siguientes factores no forma parte del denominado triángulo de hierro, en la administración de
1 proyectos de desarrollo de software? Seguridad
¿Cuál de los siguientes principios de seguridad nos indica que no se deben permitir violaciones a la seguridad
2 en caso de una falla? Fallo Seguro
¿A qué principio de seguridad corresponde que los derechos de acceso sean validados cada vez que ocurre un
3 acceso? Mediación completa
4 “No compartir recursos cuando no sea necesario.” ¿De qué principio de seguridad estamos hablando? Mecanismo menos común
La incorporación de características de seguridad da como resultado: un software muy complejo, restrictivo y
5 difícil de utilizar. Falso
Este principio se enfoca en asegurarse que la superficie de ataque no es incrementada y no se introducen
nuevas vulnerabilidades, mediante la reutilización de componentes de software, código o funcionalidad. ¿De
6 qué principio estamos hablando? Aprovechamiento de componentes ya existente
“No confiar en -Seguridad mediante obscuridad-”, ¿A cuál principio de seguridad se refiere el enunciado
7 anterior? Diseño Abierto
8 Que termino significa que nadie puede negar sus acciones No repudio
A que caracteristica de software nos estamos refiriendo en el siguiente ejemplo, al hacer una transferencia
9 bancaria se espera que el monto transferido sea el monto que se autorizo Integridad
10 ¿Cuál es el instrumento a través del cuál se identifican los activos digitales que requieren protección? Políticas de seguridad
11 ¿Qué categoría del modelo STRIDE habla acerca de la interrupción del servicio que afecta la disponibilidad? Denegación de Servicio
Complete la siguiente oración: Las metodologías de _____ se basan en el desarrollo iterativo con el objetivo de
12 minimizar la tasa de fallos del proyecto de desarrollo de software Desarrollo Ágil
Complete la siguiente oración: La _______________ de código utiliza una variedad de técnicas para hacer que
13 el código fuente sea confuso e ilegible Ofuscación
14 ¿Cuál de las siguientes es la política de seguridad aplicable de forma universal para toda la organización? Políticas organizacionales
¿Qué metodología de modelado de amenazas se realiza en la fase de diseño del desarrollo de software
15 agrupando y clasificando las amenazas en seis categorías? STRIDE
“El balance entre proteger los activos de TI y el costo de implementación de los controles de seguridad de
software, de tal forma que el riesgo sea manejado de forma apropiada.” ¿A qué principio se refiere el
16 enunciado anterior? Administración de Riesgos
17 “Un agente intencionalmente causa que una amenaza suceda”, ¿Qué concepto describe el enunciado anterior? Ataque
Complete la siguiente oración: La _______ se puede realizar alterando el orden de las instrucciones de
ejecución del programa, cambiando el gráfico de control mediante la inserción de instrucciones de salto
18 arbitrarias. Ofuscación de flujo de código
Las políticas de seguridad deben de ser evaluadas periódicamente para que se mantengan correctas y
19 relevantes al contexto y actualizadas conforme a las amenazas actuales. Verdadero
20 En que estrategia de manejo de riesgos se elige implementar controles de seguridad para reducir el riesgo Mitigar el riesgo
¿Cuáles son los requerimientos que abordan la garantía de fiabilidad y protección o prevención contra
21 modificaciones no autorizadas? Requerimientos de integridad
22 ¿Cuáles de los siguientes son ejemplos de fuentes internas para la definición de requerimientos de seguridad? Políticas, estándares internos, patrones y prácticas.
23 ¿Qué tipo de datos es la información almacenada en base de datos No relacionales? Semiestructurados
24 ¿Cuáles de los siguientes requerimientos responden a la pregunta de qué se permite o no hacer? Requerimientos de Autorización
25 ¿Qué tipo de requerimientos sirven para garantizar que no haya interrupciones en las operaciones de negocio? Disponibilidad
26 ¿Cuáles de los siguientes es un ejemplo de fuente interna para la definir requerimientos de seguridad? Políticas de seguridad
“Los mensajes de error que se muestran al usuario final revelaran solo la información necesaria sin revelar
27 ningún detalle del sistema Interno”. De que tipo de requerimientos es ejemplo el enunciado anterior Requerimientos de manejo de errores
Complete la siguiente oración: Los _______, ayudan a identificar los requisitos de seguridad al modelar
28 escenarios negativos. Casos de Abuso
29 ¿Cuál de los siguientes proporciona el punto de vista de los usuarios hostiles? Casos de Abuso
Realizar el ejercicio de clasificación de información
Realizar copias de seguridad y recuperación según lo
30 ¿Cuáles son las responsabilidades del custodio de datos? especificado por el propietario de datos.
Realizar el ejercicio de clasificación de información
Realizar copias de seguridad y recuperación según lo
31 ¿Cuáles son algunas de las responsabilidades del custodio de datos? especificado por el propietario de datos.
Todos los datos necesitan el mismo nivel de protección por ejemplo los datos públicos requieren una protección
32 mínima o nula contra la divulgación. Falso
33 El dueño del negocio también se conoce como el dueño de los datos. Verdadero
34 Una carpeta con un catálogo de imágenes, es un ejemplo de datos: No Estructurados
35 Los ____ proporcionan información sobre las amenzas que pueden ocurrir contra el sistema o software Casos de Abuso
36 ¿Cuál de los siguientes elementos permite verificar la integridad de la información? Funciones de Hash
Los _______ son bytes aleatorios que se pueden usar con la función hash para evitar colisiones y prevenir
37 ataques de diccionario preconstruidos. Salt Values
Complete la siguiente oración: La _______ de un software o aplicación es la medida de su exposición a ser
38 explotada por un agente de amenaza. Superficie de ataque
Consiste en agregar recursos adicionales al nodo existente. ¿A qué tipo de escalabilidad hace referencia el
39 enunciado anterior? Escalabilidad Vertical
Una llave Criptográfica debe mantenerse en secreto y se conoce como la _________, Mientras que la otra
40 clave se divulga a cualquier persona Llave privada
La firma digital que se utiliza para firmar un mensaje no puede ser fácilmente imitada por alguien a menos que
41 vea comprometida. Verdadero
 ¿Qué tipo de malware permanece oculto (en modo sigiloso) y opera subrepticiamente, a menudo sin el
42 conocimiento o el consentimiento del sistema o usuario victimizado? Stealthware
¿Qué tipo de arquitectura permite la creación de sistemas de información altamente escalables que reflejan el
negocio de la organización, y a su vez brinda una forma bien definida de exposición e invocación de servicios,
43 facilitando la interacción entre diferentes sistemas propios o de terceros? SOA
¿Qué tipo de arquitectura se basa en servicios de los que cada uno se ejecuta en su propio proceso y se
44 comunica con mecanismos ligeros, a menudo una API de recursos HTTP? Microservicios
La imagen base de contenedor es la más importante por motivos de seguridad, ya que se utiliza como punto de
45 partida desde el que crea imágenes derivadas. Verdadero
¿Cómo se denomina a malhechores altamente calificados que se les paga profesionalmente para usar sus
habilidades para frustrar la protección de seguridad de software y sistemas, buscando una alta ganancia
financiera?
46 ¿A qué tipo de agente de amenaza humana corresponde la descripción anterior? Cibercriminales organizados
Una de las consideraciones de diseño más importantes es diseñar el software para que pueda proporcionar
evidencia histórica de las acciones del usuario y del sistema.
47 ¿A qué concepto hace referencia el enunciado anterior? Auditoría
¿Qué categoría del modelo DREAD clasifica lo fácil que es para los investigadores externos y atacantes para
48 descubrir la amenaza? Descubrimiento
¿Qué tipo de malware actúa imponiendo restricciones a la víctima que infecta y exige que se pague un rescate
49 para eliminar la restricción? Ransomware
Cuando hablamos acerca de agentes de amenaza humanos ¿Como se denomina al agente que es un usuario
común que tropieza con un error funcional en el software y que puede obtener acceso privilegiado a la
50 información o la funcionalidad? Descubridor accidental
¿Qué práctica proporciona al equipo de desarrollo de software un punto de vista del atacante o del usuario
51 hostil? Modelado de Amenazas
El administrador de la base de datos con acceso sin restricciones y sin auditar la información confidencial
directamente es una fuente de amenaza potencial que no debe ignorarse. ¿A qué tipo de agente de amenaza
52 humana corresponde la descripción anterior? Insider
Complete la siguiente oración: La ____________ se logra mediante la implementación de controles de
53 seguridad. Mitigación
Complete la siguiente oración: La metodología _____ sirve para clasificar el riesgo de la amenaza calculando el
54 promedio de los valores numéricos asignados a las categorías de clasificación de riesgo? DREAD
¿Qué categoría del modelo DREAD clasifica el esfuerzo necesario para manifestar la amenaza y las
55 condiciones previas, si las hay, que son necesarias para materializar la amenaza? Explotabilidad
Cuando hablamos acerca de agentes de amenaza humanos. ¿Cómo se denomina al agente que es un usuario
común que ejecuta scripts de hackers contra activos corporativos sin comprender el impacto y las
56 consecuencias de sus acciones? Script Kiddies
 El software acepta argumentos del usuario que especifica qué comando de programa les gustaría que
57 ejecutara el sistema. ¿De qué tipo de vulnerabilidad estamos hablando? Inyección de comandos de sistema operativo
¿Qué vulnerabilidad es considerada una de las debilidades de seguridad de software (o aplicación) más
frecuentes, y ocurren cuando los datos suministrados por el usuario no se validan antes de que un intérprete
58 los procese? Injection
¿Cómo se denomina la práctica de estafa en la que se instala código malicioso en un sistema o servidor que
59 dirige a los usuarios a sitios web fraudulentos sin el conocimiento o consentimiento del usuario? Pharming
Se dice que una aplicación web es susceptible a la vulnerabilidad ________ cuando la entrada suministrada
60 por el usuario se envía de vuelta al cliente del navegador sin ser validada adecuadamente Cross site scripting
61 ¿Cuándo faltan actualizaciones de software y de sistema operativo, qué tipo de vulnerabilidad es? Security Misconfiguration
¿En una CPU cómo se llaman los espacios de almacenamiento de memoria interna especializados dentro del
62 propio procesador? Registros
Insuficiente protección de datos en movimiento
Insuficiente protección de datos en reposo
Ingeniería social electrónica.
63 ¿Son algunas de los motivos principales para qué tipo de vulnerabilidad? Sensitive Data Exposure
¿Cómo se denomina a la técnica de mitigación de vulnerabilidad que consiste en eliminar todos los servicios y
64 procesos innecesarios? Security Misconfiguration
El atacande proporciona datos que se aceptan tal cual como un comando o parte de un comando vector de
65 inyección. De que tipo de vulnerabilidad estamos hablando? Injection
Los mensajes de error son una de las primeras fuentes que un atacante buscará para determinar la información
66 sobre el software Verdadero
Complete la siguiente oración: Las ____ hacen que la funcionalidad interna de una función de software sea
67 accesible para las personas externas (otras entidades y funciones de código). APIs
¿Qué tipo de análisis de código implica la inspección del mismo sin ejecutar el programa de software que lo
68 contiene? Análisis de código estático
¿Cómo se denomina al proceso de conversión de datos que tiene más de una representación posible para
69 ajustarse a una forma estándar? Canonicalización
¿Cómo se denomina al mecanismo de seguridad que evita que el software que se ejecuta en un sistema
70 acceda al sistema operativo host? Sandboxing
El uso de algoritmo criptográfico no validado, desarrollado a medida o débil, es un ejemplo de vulnerabilidad
71 Criptográfica. Verdadero
Se realiza cuando la aplicación funciona desde el navegador web, a través de estos comandos se busca
infectar con código malicioso el computador desde el cual el usuario busca conectarse. La mayoría de este tipo
de ataques se centran en enviar al usuario a sitios maliciosos y el robo de la información ¿Como se denomina
72 este tipo de ataques? Cross-Site Scripting
 El hecho de que el código se compile sin ningún error, que pueda analizarse mediante el análisis de código
73 estático, significa que se ejecutará sin ningún error. Falso
74 ¿Qué técnica se utiliza para detectar bombas lógicas? Revisiones de código
¿Que tipo de análisis de código requiere un entorno simulado que refleje el entorno de producción donde se
75 implementará el código? Análisis de código dinámico
76 ¿Qué tipo de análisis efectúa la inspección del código cuando se está ejecutando? Análisis de código Statico
El control de versiones puede reducir la incidencia de una condición conocida como ______, donde los errores
77 previamente corregidos reaparecen (se regeneran). Errores regenerativos
78 ¿Qué técnica se utiliza para proteger un software contra ataques de ingeniería inversa? Ofuscación
¿Cuál de las siguientes es una de las técnicas anti-manipulación para asegurar la integridad y la protección
79 contra alteraciones no autorizadas y maliciosas del código del software y/o los datos? Firmado de codigo
Almacenar la clave Criptográfica junto con los datos que se están respaldando es un ejemplo de vulnerabilidad
80 criptográfica Verdadero
¿Cómo se denomina a la vulnerabilidad en la que un usuario o alguien ajeno a la organización obtiene por
81 diversos medios una contraseña de otro usuario o miembro de la empresa, suplantando su identidad? Broken access Control
El control de versiones del software no solo garantiza que el equipo de desarrollo esté trabajando con la
versión correcta del código, sino que también brinda la capacidad de retroceder a una versión anterior en caso
82 que sea necesario. Verdadero
Los analizadores de código fuente utilizan predominantemente la comparación de patrones con una lista
conocida de sintaxis de vulnerabilidades y análisis de flujo / modelo de datos contra conjuntos de datos
83 conocidos para detectar vulnerabilidades. Verdadero
¿Qué técnica de sanitización reemplaza las entradas proporcionadas por el usuario con alternativas más
84 seguras? Sustitución
Se recomienda como una mejor práctica redirigir los errores y las excepciones a una ubicación de manejo de
errores personalizada y predeterminada y, según el contexto de inicio del usuario (remoto o local), se pueden
85 mostrar los detalles de los mensajes apropiados. Verdadero
¿Cómo se denomina al proceso de transformación de los datos que proporciona el usuario antes de
86 procesarlos? Sanitización
En el contexto del software seguro, la administración de los parámetros de configuración, significa que los
parámetros que componen el software se gestionan y protegen, para que sean menos propensos a la
87 explotación. Verdadero
El objetivo de la recolección de basura es reducir las pérdidas de memoria, es decir, recuperar objetos de
88 memoria inalcanzables. Verdadero
La validación de entrada es el proceso de verificación que garantiza que los datos que se proporcionan para el
89 procesamiento sean del tipo y formato correctos. Verdadero
90 Todas las excepciones deben ser manejadas explícitamente. Verdadero
 91 ¿Qué tipo de técnica implementa filtros que se usan para validar la forma canónica o estándar de una entrada? Expresiones regulares
92 ¿Qué técnica se utiliza para detectar problemas semánticos, como la lógica empresarial y las fallas de diseño? Revisiones de código
A que tipo de ataque se refiere lo siguiente: Se da en casos donde los controles de acceso se encuentran
correctamente configurados pero no hay mecanismos para mantener segura la información de los usuarios los
hackers aprovechan esta defieciencia para manipular encabezados y mostrar mensajes de error con
información confidencial, de esta forma sera posible para un atacante revelar datos y generar accesos no
93 deseados. Broken access control
La Ejecución de código libre requiere que se hagan diferentes actualizaciones. Mantener elementos estáticos
es otorgar vulnerabilidades ya Conocidos a los atacantes de esta forma es necesario informar al equipo de
desarrollo que actualice cualquier elemento que involucre código open source ¿Como corregir este riesgo de
94 seguridad? Using Components with known Vulnerabilities
Los beneficios de realizar un análisis de códigos estático son que los errores y las vulnerabilidades pueden
95 detectarse de forma tardía y abordarse despues de la implementación del software Falso
96 Se recomienda que la entrada se valide tanto en el cliente (frontend) como en el servidor (backend) Verdadero
La ___________ es un principio de seguridad que establece que las que las solicitudes de acceso deben ser
97 mediadas siempre de modo a que no se eluda la autoridad en solicitudes posteriores Mediación completa
98 ¿Qué archivo acredita que la persona o entidad que lo posee es realmente quien dice ser? Certificado Digital
99 ¿Qué tipo de malware se usa principalmente para control remoto o para escuchas de software? rootkits
Esto es particularmente más frecuente en el software adquirido a traves de la cadena de suministro de
software en el desarrollo de software de código abierto en el que el personal no desarrolla todos los
componentes de la aplicación de software bajo el estricto control de la empresa. Lo anterior a que tipo de
100 vulnerabilidad describe Using Components with known Vulnerabilities
Cual de los siguientes es un documento de conciencia estándar para desarrolladores y profesionales de
seguridad de aplicaciones web dicho documento representa un amplio consenso sobre los riesgos de
101 seguridad mapas críticos para las aplicaciones web? OWASP TOP 10
Si un usuario malintencionado logra sobreescribir la dirección de retorno para apuntar un espacio de
direcciones en la memoria donde se ha inyectado un código de explotación tambien conocido como carga util
luego de completar una función despues contaminada será cargara en el registro e IP en la ejecución del
102 programa se desbordara ejecutando potencionalmente la carga maliciosa. Que tipo de amenaza es? Buffer overflow
Implemente el número de máximo de intentos de autenticación permitido y cuando haya pasado ese número
denegar de forma predeterminada y desactivar/bloquear la cuenta durante un periodo de tiempo específico o
hasta que el usuario siga el proceso fuera de banda para reactivar o desbloquear la cuenta ¿contra qué es la
103 recomendación? Un ejemplo de técnica de mitigación Broken Authentication
Es recomendable monitorear las base de datos de seguimientos de errores y las listas de divulgación de
vulnerabilidades para determinar si su aplicación está en riesgo Lo anterior es una técnica de mitigación para Using components with
104 que tipo de vulnerabilidades known vulnerabilities
105 En una CPU quién actua como mediador y con todas las instucciones de procesamiento Unidad de control
 Establezca explicitamente un timeout y diseñe el software que automaticamente realice el nohoop de sesiones
106 inactivas lo anterior una técnica de mitigación para que tipo de vulnerabilidad Broken Authentication
Complete la siguiente oración: Se sabe que los empleados descontentos que se sienten agraviados por sus
107 empleadores implantan ______ su codigo un medio de venganza contra sus empleadores Bombas logicas
Que técnica de sanitización hace uso de propiedades que hacen que la entrada proporcionada por el usuario
108 se trate como una forma literal Literalización
Un ejemplo de sería instalar copias adicionales del mismo software o agregar un servidor de caché proxy a la
109 implementación existente de servidores web y de aplicaciones Escalabilidad Horizontal
Que principio se asegura que cuando se trabaja con la autorizacion el diseño debe garantizar que solo el
110 conjunto minimo de derechos se otorga explicitamene al usuario o recurso Menor privilegio
El diseño para la auditoría es extremadamente importante en caso de incumplimieno principalmente con fines
111 forenses Verdadero
112 Como que tipo de lenguaje se puede considerar cuando trabajamos con C# de .NET Ensamblador
Utilice las propiedades innerText de los controles HTML en lugar de la propiedad innetHtml al almacenar la
113 entrada proporcionada, lo anterior es un tecnica de mitigación para que tipo de vulnerabilidad Cross site scripting
114 Cuando programamos el lenguaje ensamblador es un ejemplo de uso lenguaje de que nivel Bajo nivel
Los datos o la información pueden considerarse el activo mas valioso que tiene una empresa solo superado por
115 su personal Verdadero
Casi cien veces más costoso corregir errores de seguridad una vez que el software esta en producción que
116 cuando se esta diseñando Verdadero
117 Cual de las siguientes caracteristicas tiene que ver con mantener la privacidad de datos Confidencialidad
118 Cual de los siguientes es un ejemplo de un activo intangible Reputación
La clasificación de los datos en niveles de sensibilidad se usa para determinar los requisitos de
119 confidencialidad Verdadero
Esforzarse por la simplicidad manteniendo siempre los mecanismos de seguridad asegura que la
120 implementación no sea parcial lo que podría resultar en cuestiones de compatibilidad Economia de mecanismos
Segun el principio de seguridad de fallo seguro no debemos diseñar el software para ignorar error y reanudar la
121 siguiente operación Verdadero
Cuando no se permiten dos operaciones simultaneas en el mismo objeto llevamos un registro en la base de
datos por que una de las operaciones bloquea ese registro para que no permita algun cambio, de que concepto
122 estamos hablando Bloqueo de recursos
El diseño de los mecanismos de protección debe estar abierto al escotinio de los miembros de la comunidad. A
123 que principio de seguridad hace referencia el enunciado anterior Diseño Abierto
Sin los controles de confidencialidad adecuados el software puede tener fugas de información sobre su
configuración, estado y composición interna que un atacante puede usar para robar su infomación o lanzar más
124 ataques, lo anterior es un ejemplo de que tipo de vulnerabilidad Injection/XSS
 Brinde la entrada proporcionada por el usuario con una lista blanca todos los encabezados cookies valores de
cadena de consulta de URL campos de formularios y campos ocultos deben ser validados lo anterior es una
125 tecnica de mitigación de que tipo de vulnerabilidad Broken Access Control
Cual de los siguientes se refiere a recursos que un atacante puede aprovechar para construir un ataque contra
126 el software Objetivos y habilitadores
Complete la siguiente oración: Un ____ es la condición que ocurre cuando los datos que se copian en el búfer
(espacio de almacenamiento contiguo asignado en la memoria) son más grandes de lo que el búfer puede
127 manejar Buffer overflow
A que tipo de vulnerabilidad se refiere la instalación y configuración de servicios puertos y protocolocos
128 innecesarios paginas no utilizadas archivos y directorios no protegidos Security Misconfiguration
A que rol se refiere alguien que esencialmente usa sus conocimientos tecnicos y habilidades para resolver los
129 problemas que tiene el negocio usuando lenguajes de programación Programador
A que principio de seguridad, no combinar el rol de las personas que recibe pagos y las personas que las
130 aprueba Separacion de responsabilidades
131 Como se conoce la información de identificación que presenta la persona o proceso Credenciales
El costo de corregir software inseguro en etapas tempranas en el ciclo de vida del desarrollo de software es
132 significativamente mayor comparado con etapas tardías Verdadero
133 ¿Cuál de las siguientes categorías corresponde al modelo strike? Integridad
134 ¿Qué técnicas se utilizan normalmente para superar las limitaciones en los dispositivos Android? Jailbreaking
¿Cuáles las siguientes metodologías de desarrollo de software consiste en un proceso altamente estructurado
lineal y secuencial, caracterizado por fases predefinidas cada una de las cuales debe de completarse antes de
135 continuar a la siguiente fase? Modelo de cascada
Completa la siguiente frase: la ____ es un método más rápido y desestructurado para obtenerlos
136 requerimientos de seguridad lluvia de ideas
137 Los casos de mal uso o abuso se pueden utilizar para obtener requerimientos de seguridad Verdadero
¿Cómo definimos el comportamiento involuntario del sistema que el propietario del sistema no desea que
138 ocurra dentro del contexto del caso de uso? Un escenario negativo
¿Qué tipo de malware parece ser inocuo en funcionalidad pero internamente lleva una carga maliciosa que
139 lleva como objetivo eludir controles de seguridad, Explorar explotar el sistema? Troyano
Implemente el número máximo de intentos de autenticación permitido y cuando haya pasado ese número
denegar de forma predeterminada y desactivar bloquear la cuenta durante un periodo de tiempo específico y
hasta que el usuario siga un proceso fuera de banda para reactivar desbloquear la cuenta
140 ¿contra qué es la recomendación dimensionada? Broken authentication
Se tiene la siguiente recomendación. -una plataforma mínima sin funciones componentes, documentación ni
ejemplos innecesarios eliminar o no instalar funciones y frameworks no utilizados es una recomendación para
141 prevenir que tu tipo de amenaza Security misconfiguration
 El servidor de aplicaciones incluye aplicaciones de muestra que no se eliminan del servidor de producción
estas aplicaciones demuestra tiene fallas de seguridad conocidas que los atacantes utilizan para comprometer
el servidor, si una de esas aplicaciones es la consola de administración y las cuentas predeterminadas no se
cambiaron el atacante inicia Sesión con las contraseñas predeterminadas y toma el control ¿ qué tipo de
142 amenaza está representando el escenario anterior? Broken authentication
143 Siempre que sea posible utilice formatos de datos menos complejos como json y evita el la serialización de la insecure deserialization
Un foro php utiliza la serialización de los objetos php para guardar una súper poquitín que obtiene el id del
144 usuario el rol has de la contraseña y otro estado del usuario insecure deserialization
¿Como se llama el principio de seguridad que indica que unicamente se deben otorgar los permisos necesarios
145 para que alguien pueda completar una tarea asignada? Menor privilegio
Solo porque las credenciales de una entidad fueron validadas, no significa que tenga acceso a todos los
146 recursos que solicite. ¿Como se conoce al proceso de validar los derechos y privilegios? Autorización
¿Que metodo funciona cuando el que tiene el punto de vista opuesto es cuestionado sobre su razón de ser, a
147 menudo con una forma negativa de su propia pregunta? Metodología Socrática
Complete la sigiuente oracion: Los _____ no solo ayudan con las investigaciones forenses como control de
detección, sino que tambien se pueden usar para solucionar errores y excepciones, si las acciones del software
148 se rastrean adecuadamente Requisitos de responsabilidad /auditoria/seguimiento
Complete la sigiuente oracion: Los _____ proporcionan información sobre las amenazas que pueden ocurrir
149 contra un sistema o el software Casos de uso
¿En que tipos de lenguajes de programación el codigo fuente no se compila ni se convierte en codigos de
150 instrucciones especificos del procesador? Lenguajes interpretados
¿A que categoria de vulnerabilidad corresponde el poder usar un software sin iniciar sesión o hacerse pasar
151 como administrador cuando se inicia sesión de usuario? Broken Authentication
¿A que tipo de ataque se refiere lo siguiente? Se da en casos donde los controles de acceso se encuentran
152 correctamente configurados pero no hay mecanismos para mantener segura la informacion de los usuarios Security Misconfiguration
153 En que estrategia de manejo de riesgos se elige implementar controles de seguridad para reducir el riesgo Mitigacion
El modelado de casos de uso es uno de mecanismo por el cual se pueden determinar los requerimientos
154 funcionales y de seguridad del software Verdadero
El diseño de los mecanismos de protección debe estar abierto al escrutinio de los miembros de la comunidad
155 ¿Que principio de seguridad hace referencia el enunciado anterior? Diseño abierto
A que principio de seguridad se refiere que los errores y excepciones se manejan explícitamente y los
156 mensajes de error sean de naturaleza no detallada Defensa a profundidad
157 Los ______ son debido a la codificación / Implementación que pueden causar brechas en la seguridad Errores(Bugs)
158 Que algoritmos criptográficos se caracterizan por compartir una llave entre emisor y receptor Algoritmos simétricos
159 Cuales de los siguientes elementos son parte del diseño de la memoria interna de un programa? Ram y Registros
 Cual de los siguientes es un documento de conciencia estándar para desarrolladores y profesionales de
seguridad de aplicaciones web? Dicho documenta representa un amplio consenso sobre los riesgos de
160 seguridad mas críticos para las aplicaciones web OWASP top 10
Cuando se van a utilizar componentes que no se desarrollan bajo su control es importante asegurarse de que
los componentes y sus versiones incluidas las dependencias no solo se identifiquen primero(se conozcan), sino
que también se mantengan actualizados ¿Lo anterior es una técnica de mitigación para que tipo de
161 vulnerabilidad? Using Components with known Vulneravilities
En una _________ los atacantes explotan la forma en que se construyen las consultas de la base de datos en
162 una aplicacion Inyección SQL
Manejo de errores explícitamente usando redireccionamientos y mensajes de error para que el incumplimiento
de cualquier configuración incorrecta no resulte en la divulgación de mas información de la necesaria Lo
163 anterior es una técnica de mitigación para que tipo de vulnerabilidad Security misconfiguration
Las vulnerabilidades en estas areas pueden conducir al descubrimiento y control de sesiones. Una vez el
atacante tiene el control de una sesión(secuestro), Puede interponerse en el medio, haciéndose pasar por
usuarios legítimos para las partes que participan en esa transacción de sesiónelos. De que tipo de
164 vulnerabilidad estamos hablando? Broken authentication
Usar componentes descargados De Fuentes oficiales a travez de comunicación segura” ¿Es una tecnica de
165 mitigazione para que tipo de categoria de vulnerabilidades ? Using Components with known Vulnerabilities