DATOS PERSONALES

Nombre y apellidos: DNI/Cédula:

ESTUDIO ASIGNATURA CONVOCATORIA FECHAS

Máster Universitario en 13610.- Ordinaria 12/07/2024 -
Ingeniería de Software y Ciberseguridad 17/07/2024
Sistemas Informáticos (Plan Web
2022)
MODELO CÓDIGO DE PERÍODO SEGMENTO
EXAMEN
D 5A985944 9208 Todos
INSTRUCCIONES GENERALES

• Ten disponible tu documentación oficial para identificarte, en el caso de que se

te solicite.
• Rellena tus datos personales en todos los espacios fijados para ello y lee
atentamente todas las preguntas antes de empezar.
• Las preguntas se contestarán en la lengua vehicular de esta asignatura.
• Si tu examen consta de una parte tipo test, indica las respuestas en la plantilla
según las características de este.
• Debes contestar en el documento adjunto, respetando en todo momento el
espaciado indicado para cada pregunta. Si este es en formato digital, los
márgenes, el interlineado, fuente y tamaño de letra vienen dados por defecto y
no deben modificarse. En cualquier caso, asegúrate de que la presentación es
suficientemente clara y legible.
• Entrega toda la documentación relativa al examen, revisando con detenimiento
que los archivos o documentos son los correctos. El envío de archivos erróneos
o un envío incompleto supondrá una calificación de “no presentado”.
• Durante el examen y en la corrección por parte del docente, se aplicará el
Reglamento de Evaluación Académica de UNIR que regula las consecuencias
derivadas de las posibles irregularidades y prácticas académicas incorrectas
con relación al plagio y uso inadecuado de materiales y recursos.
• No se permite el uso de ningún software a excepción del estrictamente
necesario para la realización del examen.
• El uso de cualquier software no autorizado o práctica deshonesta
conducirá al suspenso inapelable de la asignatura y a la pérdida de la
evaluación continua obtenida hasta el momento.

NO UTILIZAR ESTA PARTE DE LA HOJA.

PERMISOS

Materiales Presencial
EXCEL ☐

NO UTILIZAR ESTA PARTE DE LA HOJA.

PUNTUACIÓN
1. Test

• Puntuación máxima 4 puntos

• Respuesta correcta 0.4 puntos
• Cada respuesta icorrecta resta 0 puntos

1. Indica cuál de las siguientes NO es una posible vía para gestionar un riesgo de
seguridad de la información:

a. Contratar un seguro con una aseguradora que cubra la eventualidad de

una pérdida de datos

b. Permitir que los usuarios gestionan sus claves como estimen oportuno

c. Establecer controles sobre la forma en que los usuarios gestionan sus

claves, por ejemplo, obligándoles a cambiarlas cada cierto tiempo

d. Confiar en un tercero para gestionar el riesgo

2. Señalar en qué sección se definen los roles necesarios en una política de

seguridad

a. Organización de la seguridad

b. Misión y organización

c. Marco normativo.

d. Concienciación y formación

3. Las dos partes relativas al tratamiento de los riesgos son:

a. Clasificación de riesgos, Transferencia del riesgo

b. Análisis de riesgos, Gestión de los riesgos

c. Gestión de los riesgos, Transferencia del riesgo.

d. Clasificación de riesgos, Gestión de los riesgos

4. NTLM...

a. Cifra las credenciales en todas las peticiones

b. Codifica las credenciales en todas las peticiones

c. HASH de las credenciales en todas las peticiones

d. Cifra y codifica las credenciales en todas las peticiones

5. TRACE tiene la vulnerabilidad...

a. XSS

b. XST

c. SQLI

d. CSRF

6. ¿Qué método HHTP sirve para saber qué otros métodos implementa el
servidor?

a. GET

b. OPTIONS

c. POST

d. TRACE

7. ¿Qué se recomienda para NONCE en el método de autenticación DIGEST?

a. UN SOLO USO

b. UNA VENTANA DE TIEMPO GRANDE

c. NONCE NO ES NECESARIO

d. DIGEST NO USA NONCE

8. ¿Dónde debe ubicarse el ID de sesión para tener más seguridad?

a. PARÁMETRO GET

b. CABECERA SET COOKIE

c. PARÁMETRO POST

d. PARÁMETRO reescritura URL

 9. Mejor defensa contra CSRF...

a. HTTPONLY

b. TLS

c. CONTRASEÑA

d. TOKEN ANTI-CSRF

10. XSS tiene como objetivo...

a. cliente

b. servidor

c. SGBD

d. comunicación

NO UTILIZAR ESTA PARTE DE LA HOJA. COMENZAR A RESPONDER A PARTIR DE

LA SIGUIENTE PÁGINA
TABLA DE RESPUESTAS

Preguntas / A B C D
Opciones
1 X
2 X
3 X
4 X
5 X
6 X
7 X
8 X
9 X
10 X

NO UTILIZAR ESTA PARTE DE LA HOJA.

2. Preguntas teórico-prácticas

• Puntuación máxima 6 puntos

• Cada pregunta puntúa 2 puntos

1. Dado el siguiente fragmento de código más abajo:

 Qué tipo vulnerabilidad contiene.

 Indicar la línea de código de entrada del dato malicioso (SOURCE) y la
línea de código que ejecuta la vulnerabilidad (SINK).
 Proponer código alternativa a la línea que contiene la instrucción SINK,
que solucione la vulnerabilidad.

1. public void bad(HttpServletRequest request, HttpServletResponse

response) throws Throwable
2. {
3. String data;
4. Logger log_bad = Logger.getLogger("local-logger");
5. data = request.getParameter("name");
6. response.getWriter().println("<br>bad() - Parameter name has value
" + data);
7. }

(Responde en 1 cara)

NO UTILIZAR ESTA PARTE DE LA HOJA. COMENZAR A RESPONDER A PARTIR

DE LA SIGUIENTE PÁGINA
VULNERABILIDAD:

Tipo: XSS
String userInput = request.getParameter(“input”);

LINEAS DE CODIGO:

public void bad(HttpServletRequest request, HttpServletResponse response) throws

Throwable
{
String data;
Logger log_bad = Logger.getLogger("local-logger");
data = request.getParameter("name"); //SOURCE
response.getWriter().println("<br>bad() - Parameter name has value " + data);
//SINK
}

CODIGO ALTERNATIVO:

public void safe(HttpServletRequest request, HttpServletResponse response) throws

Throwable
{
String userInput = request.getParameter(“input”);
String sanitizedInput =
org.apache.commons.text.StringEscapeUtils.escapeHtml4(userInput);
response.getWriter().println("<html><body>” + sanitizedInput + “</body>
</html>”);
}
2. Análisis y gestión del riesgo.

Una pequeña empresa de desarrollo de software, dispone de una sala de 100

m2 para 15 desarrolladores y un Jefe con un PC y SO Windows cada uno y un
CPD de 20 m2 donde están instalados un servicio controlador de dominio,
router ADSL, un servidor de aplicaciones web JBOSS, un servidor de Bases de
datos ORACLE y una cabina de discos de 20 Tb. Existe una impresora instalada
en red. Las instalaciones son alquiladas y forman parte de un edificio donde
residen unas 20 empresas más.

a. Identificar los activos y valorarlos cualitativamente de 1 a 10) con el

concepto de dominios.
b. Identificar posibles amenazas y valorarlas cualitativamente de 1 a 10,
(al menos 10 amenazas).
c. Diseñar la gestión de riesgos proponiendo 3 fases a medio plazo y las
salvaguardas necesarias de distinto tipo y su valoración por fases para
llegar a un escenario de riesgo moderado bajo.

(Responde en 2 caras)

NO UTILIZAR ESTA PARTE DE LA HOJA. COMENZAR A RESPONDER A

PARTIR DE LA SIGUIENTE PÁGINA
Para abordar el problema propuesto, se seguirá un enfoque sistemático para
identificar y valorar los activos, identificar y valorar las amenazas y finalmente
diseñar una gestión de riesgos con salvaguardas necesarias para alcanzar un
escenario de riesgo moderado bajo.

a. Identificación y valoración cualitativa de los activos

1. Activos fisicos:
2. PCs de desarrolladores (15) – valor: 8
3. PC dek jefe – Valor: 8
4. Router ADSL – Valor: 6
5. Servidor controlador de dominio – Valor: 9
6. Servidor de aplicaciones WEB JBOSS – Valor: 9
7. Servidor de BDD ORACLE – Valor: 10
8. Cabina de discos de 20tb – Valor: 9
9. Impresora de red – Valor: 4

Activos lógicos:

1. Datos de clientes y proyectos - Valor: 10

2. Aplicaciones y código fuente - Valor: 10
3. Bases de datos ORACLE - Valor: 10
4. Configuraciones y políticas de red - Valor: 8
5. Accesos y credenciales - Valor: 10

Activos humanos:

1. Desarrolladores (15) - Valor: 9

2. Jefe de desarrollo - Valor: 9

Activos Valor
Recurso Humano 10
PC desarrolladores 8
servicio controlador de dominio 9
PC Jefe 8
servidor de aplicaciones web JBOSS 9
un servidor de Bases de datos ORACLE 10
cabina de discos de 20 Tb 9
Impresora 4
router ADSL 6
3. Describir las actividades más importantes de seguridad del ciclo de vida de
desarrollo seguro SSDLC de McGraw.

 Dibujar un ESQUEMA del modelo.

(Responde en 1 cara)

NO UTILIZAR ESTA PARTE DE LA HOJA. COMENZAR A RESPONDER A

PARTIR DE LA SIGUIENTE PÁGINA
El ciclo de vida de desarrollo seguro (SSDLC) de McGraw, también conocido coom el
Modelo de Tocar Todos los Componentes de seguridad (Touchpoints). Incluye una
serie de actividades esenciales para incorporar la seguridad en el desarrollo de
software. Este modelo se centra en integrar la seguridad en cad fase del ciclo de vida
del desarrollo de software. A continuación, se describen las actividades más
importantes y se presenta un esquema del modelo.

Realización de Requisitos de Seguridad

Definición de requisitos de seguridad: Identificar y Documentar los requisitos de

seguridad específicos para el software en función de las necesidades del negocio y el
análisis de amenazas.

Análisis de amenazas: Identificar posibles amenazas y vulnerabilidades que puedan

afectar el software

Arquitectura y Diseño de Seguridad

Revisiones de diseño del software para asegurarse de que cumpla con los principios
de seguridad.

Modelado de amenazas: Crear modelos que representen las amenazas potenciales y

cómo se pueden mitigar

Codificación segura
Revisiones de código estático: Utilizar herramientas de análisis estático para
detectar vulnerabilidades en el código fuente.

Normas de codificación segura: Implementar y seguir guías y estándares de

codificación segura.

Pruebas de Seguridad
Pruebas de Peetración: Realizar pruebas manuales y automatizadas para encontrar
y explotar vulnerabildiades.

Análisis de seguridad Dinámica: Utilizar herramientas de análisis dinámico para

identificar vulnerabilidades durante la ejecución del software.

Implantación y Mantenimiento
Monitoreo continuo de seguridad: Implementaar sistemas de monitoreo para
detectar y responder a incidentes se seguridad.

Actualización y parches de seguridad: Mantener el software actualizado con los

últimos parches y actualizaciones de seguridad.