Scribd
Cargar
181 vistas6 páginas

2023 Modelob

El documento presenta un examen de Seguridad en Sistemas, Aplicaciones y Big Data. Contiene instrucciones generales, una sección de preguntas tipo test con 10 preguntas y respuestas múltiples, y una sección de preguntas de desarrollo con 3 preguntas que requieren una respuesta más extensa. El examen evalúa diferentes conceptos de seguridad como autenticación, vulnerabilidades, políticas de seguridad y metodologías de testing.

Cargado por

Irene AbHr
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
181 vistas6 páginas

2023 Modelob

El documento presenta un examen de Seguridad en Sistemas, Aplicaciones y Big Data. Contiene instrucciones generales, una sección de preguntas tipo test con 10 preguntas y respuestas múltiples, y una sección de preguntas de desarrollo con 3 preguntas que requieren una respuesta más extensa. El examen evalúa diferentes conceptos de seguridad como autenticación, vulnerabilidades, políticas de seguridad y metodologías de testing.

Cargado por

Irene AbHr
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

DATOS PERSONALES FIRMA

Nombre: DNI:
Apellidos:
ESTUDIO ASIGNATURA CONVOCATORIA

MÁSTER UNIVERSITARIO 14136.- SEGURIDAD EN


Ordinaria
EN CIBERSEGURIDAD SISTEMAS, APLICACIONES Y
EL BIG DATA Número periodo 6320
(PLAN 2022)

CIUDAD DEL
FECHA MODELO
EXAMEN

07-09/07/2023 Modelo - B

Etiqueta identificativa

INSTRUCCIONES GENERALES
1. Lee atentamente todas las preguntas antes de empezar.
2. La duración del examen es de 2 horas.
3. Escribe únicamente con bolígrafo azul o negro.
4. No está permitido utilizar más hojas de las que te facilita la UNIR (puedes utilizar
folios para hacerte esquemas u organizarte pero no se adjuntarán al examen).
5. El examen PRESENCIAL supone el 60% de la calificación final de la asignatura. Es
necesario aprobar el examen, para tener en cuenta la evaluación continua.
6. No olvides rellenar EN TODAS LAS HOJAS los datos del cuadro que hay en la
parte superior con tus datos personales.
7. El DNI/NIE/PASAPORTE debe estar sobre la mesa y disponible para su posible
verificación.
8. Apaga el teléfono móvil.
9. Las preguntas se contestarán en CASTELLANO.
10. El profesor tendrá muy en cuenta las faltas de ortografía en la calificación final.

Código de examen: 208036


Puntuación
TEST5

 Puntuación máxima 4.00 puntos


 Solo hay una respuesta correcta. Los fallos no penalizan. Cada respuesta correcta
vale 0.40 puntos

DESARROLLO5

 Puntuación máxima 6.00 puntos


 Cada pregunta contestada correctamente vale 2.00 puntos

PREGUNTAS TIPO TEST

1. Qué tipo vulnerabilidad contiene el siguiente fragmento de código?

<img src="http://url.to.file.which/not.exist" onerror=alert(document.cookie);>

A. PATH TRAVERSAL
B. SQLI
C. XSS
D. HTTP RESPONSE SPPLITING

2. ¿Cuáles de estas medidas han de adoptarse para dotar de seguridad a un identificador de sesión?

A. Tiempo máximo de duración de sesión


B. Tiempo máximo de inactividad
C. Invalidar o eliminar el identificador de sesión cuando el usuario termina la sesión
D. Todas las anteriores son correctas

3. ¿Cómo se usa NotActions en una definición de roles?

A. NotActions se restan de Actions para definir la lista de operaciones permitidas


B. NotActions se consulta después de Actions para denegar el acceso a una operación
específica
C. NotActions permite especificar una única operación que no está permitida
D. NINGUNA DE LAS ANTERIORES

4. ¿Qué es el orden de herencia para el ámbito en Azure?

A. Grupo de administración, grupo de recursos, suscripción, recurso


B. Grupo de administración, suscripción, grupo de recursos, recurso
C. Suscripción, grupo de administración, grupo de recursos, recurso
D. Ninguna de las anteriores

Código de examen: 208036


5. NTLM...

A. Cifra las credenciales en todas las peticiones


B. Codifica las credenciales en todas las peticiones
C. HASH de las credenciales en todas las peticiones
D. Cifra y codifica las credenciales en todas las peticiones

6. La vulnerabilidad que permite acceder a recursos locales del servidor se denomina:

A. XSS
B. REDIRECT
C. LFI
D. Ninguna de las anteriores

7. TRACE tiene la vulnerabilidad...

A. XSS
B. XST
C. SQLI
D. CSRF

8. ¿Cuáles son los objetivos de seguridad de los Sistemas TIC?

A. No repudio, funcionamiento correcto, trazabilidad, confidencialidad, disponibilidad,


integridad.
B. No repudio, trazabilidad, autenticación, autorización y control de acceso,
confidencialidad, disponibilidad, integridad.
C. No repudio, autenticación, autorización y control de acceso, confidencialidad,
disponibilidad, integridad.
D. Ninguna de las anteriores.

9. DAST es una herramienta de...

A. análisis dinámico
B. análisis estático
C. caja blanca
D. reconocimiento

10. La cabecera de seguridad X-FRAME-OPTIONS...

A. Se debe configurar con parámetro TLS


B. Se debe configurar con parámetro DENY
C. Se debe configurar con parámetro HTTPONLY
D. Se debe configurar con parámetro ALL

Código de examen: 208036


PLANTILLA DE RESPUESTAS
Preguntas / Opciones A B C D

10

Código de examen: 208036


PREGUNTAS DE DESARROLLO

Cada pregunta bien contestada puntúa 2 puntos

1. Desarrollar las siguientes preguntas:

1.(1,00 puntos) Procedencia de peticiones y CSRF, concepto y como mitigarla

(1,00 puntos) Política del mismo origen, concepto y explicar como se puede saltar y
securizar.

2. (2,00 puntos) ¿Qué método de autenticación se usa en la siguiente petición HTTP? Explicar
como funciona, fortalezas, vulnerabilidades y cómo implementarlo de la forma más segura
posible.

GET /dir/index.html HTTP/1.0

Host: localhost

Authorization: XXXXXX username="Mufasa",

realm="[email protected]",

nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",

uri="/dir/index.html",

qop=auth,

nc=00000001,

cnonce="0a4f113b",

response="6629fae49393a05397450978507c4ef1",

opaque="5ccc069c403ebaf9f0171e9517f40e41"

Código de examen: 208036


3. (1,00 puntos) Determinar en el siguiente fragmento de código: Qué tipo vulnerabilidad
contiene y explicar en qué consiste.Especificar la línea de código de entrada del dato malicioso
(SOURCE), la línea de código que ejecuta la vulnerabilidad (SINK).

(1,00 puntos) Añadir o sustituir las líneas de código necesarias para solucionar la
vulnerabilidad.

1. public void bad(HttpServletRequest request, HttpServletResponse response)


throws Throwable
2. {
3. String data;
4. Logger log_bad = Logger.getLogger("local-logger");
5. Cookie cookieSources[] = request.getCookies();
6. if (cookieSources != null) {
7. data = cookieSources[0].getValue();
8. }
9. else
10. {
11. data = null;
12. }
13. response.getWriter().write(data);
14. }

(Responder en 4 caras)

Código de examen: 208036

También podría gustarte