DATOS PERSONALES FIRMA

Nombre: Jose Angel DNI:223-0048096-3

Apellidos: Mateo Castillo
ESTUDIO ASIGNATURA CONVOCATORIA

MÁSTER UNIVERSITARIO 14136.- SEGURIDAD EN

Ordinaria
EN CIBERSEGURIDAD SISTEMAS, APLICACIONES Y
EL BIG DATA Número periodo 6320
(PLAN 2022)

CIUDAD DEL
FECHA MODELO
EXAMEN

07-09/07/2023 Modelo - C Republica Dominicana

Etiqueta identificativa

INSTRUCCIONES GENERALES
1. Lee atentamente todas las preguntas antes de empezar.
2. La duración del examen es de 2 horas.
3. Escribe únicamente con bolígrafo azul o negro.
4. No está permitido utilizar más hojas de las que te facilita la UNIR (puedes utilizar
folios para hacerte esquemas u organizarte pero no se adjuntarán al examen).
5. El examen PRESENCIAL supone el 60% de la calificación final de la asignatura. Es
necesario aprobar el examen, para tener en cuenta la evaluación continua.
6. No olvides rellenar EN TODAS LAS HOJAS los datos del cuadro que hay en la
parte superior con tus datos personales.
7. El DNI/NIE/PASAPORTE debe estar sobre la mesa y disponible para su posible
verificación.
8. Apaga el teléfono móvil.
9. Las preguntas se contestarán en CASTELLANO.
10. El profesor tendrá muy en cuenta las faltas de ortografía en la calificación final.

Código de examen: 208054

 Puntuación
TEST3

 Puntuación máxima 4.00 puntos

 Solo hay una respuesta correcta. Los fallos no penalizan. Cada respuesta correcta
vale 0.40 puntos

DESARROLLO3

 Puntuación máxima 6.00 puntos

 Cada pregunta contestada correctamente vale 2.00 puntos

PREGUNTAS TIPO TEST

1. Respecto a las actividades y buenas prácticas de seguridad en el ciclo de vida de desarrollo

seguro de aplicaciones o sistemas, señalar la opción incorrecta:

A. Las actividades de seguridad del SSDLC hay que repetirlas a lo largo del ciclo de
vida lo que supone un ciclo continuo.
B. Hay que realizar antes las pruebas de penetración que la revisión de código.
C. hay que realizar una derivación de requisitos de seguridad y de casos de abuso.
D. Nuevos defectos de implementación de partes que se modifican con arreglo a
nuevas especificaciones ó cambios en las mismas implica nueva revisión de código y
nuevas pruebas de seguridad en operación del sistema

2. Señalar la afirmación falsa.

A. Las herramientas DAST encuentran menos vulnerabilidades que las de tipo SAST.
B. Las herramientas de tipo DAST no pueden encontrar ciertos tipos vulnerabilidades ya
que realizan un análisis sintáctico de la aplicación.
C. El análisis DAST solo puede testear las partes de la aplicación accesibles
externamente.
D. Todas las anteriores son falsas.

3. ¿Cuáles de estas medidas han de adoptarse para dotar de seguridad a un identificador de sesión?

A. Tiempo máximo de duración de sesión

B. Tiempo máximo de inactividad
C. Invalidar o eliminar el identificador de sesión cuando el usuario termina la sesión
D. Todas las anteriores son correctas

4. ¿Qué herramienta se puede utilizar para ataques de fuerza bruta basados en diccionario
offline?

A. BRUTUS
B. JOHN THE RIPPER

Código de examen: 208054

 C. HYDRA
D. FIRESHEEP

5. ¿Donde puede ubicarse el ID de sesión?

A. CABECERA SET COOKIE

B. PARÁMETRO GET
C. PARÁMETRO POST
D. TODAS LAS ANTERIORES SON CIERTAS

6. Cada servidor recibirá las configuraciones de seguridad a través de directivas de grupo en el

nivel de Referencia

A. Para cumplir los requisitos comunes de seguridad

B. Para cumplir los requisitos de seguridad específicos del servidor
C. Para cumplir los requisitos de seguridad de los roles específicos del servidor
D. Ninguna de las anteriores

7. Cada servidor recibirá las configuraciones de seguridad a través de directivas de grupo en el

nivel de Rol...

A. Para cumplir los requisitos comunes de seguridad

B. Para cumplir los requisitos de seguridad específicos del servidor
C. Para cumplir los requisitos de seguridad de los roles específicos del servidor
D. Ninguna de las anteriores

8. CWE...

A. Deficición de un tipo de vulnerabilidad de forma genérica (diccionario)

B. un tipo de ataque
C. Publicación de la existencia de una vulnerabilidad concreta en un software concreto
D. Un proyecto OWASP

9. DAC con respecto al servicio de autorización significa:

A. Gestión de autorización delegada

B. Gestión de autorización centralizada
C. Gestión de autorización mixta
D. Ninguna de las anteriores

10. Defensas de cabecera Set-cookie...

A. TLS
B. PATH
C. HTTPONLY
D. TODAS LAS ANTERIORES

Código de examen: 208054

 PLANTILLA DE RESPUESTAS
Preguntas / Opciones A B C D

1 X

2 X

3 X

4 X

5 X

6 X

7 X

8 X

9 X

10 X

Código de examen: 208054

PREGUNTAS DE DESARROLLO

Cada pregunta bien contestada puntúa 2 puntos

1. Desarrollar las siguientes preguntas:

1. Explicar las vulnerabilidades XSS y CSRF, ejemplos de explotación, medidas de mitigación.

XSS: Es una vulnerabilidad que permite la inyeccion de codigo de un atacante a un usuario

legitimo, funciona de la siguiente forma, un usurio navega en una pagina web de comentarios y
publicaciones, si esta pagina web no esta debidamente configurada, el usuario legitimo puede
ir a la caja de comentarios de culquier publicacion, en esta caja de comentarios ya el atacante
introdujo codigo malisioso que permite que la victima sea atacada porque al momento de
escribir en esa caja de comentarios se activara la inyeccion de codigo programada como un
scritps, esto puede permitira que el atacante tenga acceso a ese computador.

Como mitigar los ataques de XSS: sanitizando corectamente el codigo, no permitir que los
formularios de entrada de datos reciba datos en texto plano, deden estar debidamente
codificados.

Usando las cabeceras de segurida en la pagina web que puede ser afectada, como:

 X-contect-options
 X-frame-option
 CPS
 HSTS
 X-XSS-protection

CSRF: Es una vulnerabilidad que permite a un atacante hacer tranferencias bancarias con tus
datos, asi de malo suena, digamos que entras a una pagina web bancaria, inicias session,
introduce tus datos de usuario y password, luego sales de esa pagina bancaria y visitas otra
pagina, supongamos que una pagina de entretenimiento, sucede que tus datos de la pagina
web bancaria estan aun almacenados en la memoria cache del navegador, la pagina de
entretenimiento que visitas es una pagina fraudulenta, en esta pagina podran ver tus datos
guardados de la pagina del banco y reproducir una transferencia bancaria a beneficio del
atacante.

Para evitar este tipo de ataque se necesita que la pagina bancaria tenga en su formulario de
inicio un token-CSRF de acceso unico, con tiempo de uso limitado, ya que con esto el atacante
no podra acceder a la pagina del banco porque no tiene el token

De la misma forma que en el apartado anterior la pagina del banco debera usar cabeceras de
seguridad para evitar los ataques CSRF, fuerza bruta, del mismo origen, las cabeceras a usar
son:

 X-frame option = Deny

 HSTS = 1
 XSS-protection = 1
 CSP = same origin

Código de examen: 208054

2. (1,00 puntos) Cabeceras de seguridad para protección del protocolo HTTP y las aplicaciones
web. Concepto. Ejemplo de una petición HTTP que incluya las principales cabeceras de
seguridad, parámetros y sus valores.
(1,00 puntos) Protocolo CORS, explicar como funciona con un ejemplo sencillo.

Las cabeceras de seguridad son las siguientes:

 X-contect-options: Valida que la informacion que se envia pueda ser validada

 X-frame-option: Evita que una pagina pueda abrir marcos de ventanas que puedan
suplantar contenido real por contenido malo
 CPS: Esta cabecera ayuda que solo sea permitido scripts de la misma pagina web de
origen, no permite que se introduzca codigo desde otra pagina aunque sean similar
 HSTS: Activa la opcion de que todo el trafico sea via TL forzando la comunicación de
HTTP a HTTPS
 X-XSS-protection: Evita la inyeccion de codigo XSS, que deriva en un ataque que
intrduce codigo via URL
 SET COOKIE: En esta cabecera se configura los parametros de seguridad para evitar
ataques de secuestro de session, usando parametros como TL, HTTPONLY y PATCH

Ejemplo de una respuesta de cabecera HTTP

HTTP Response 200 OK

X-frame option = Deny

HSTS = 1
XSS-protection = 1
CSP = same origin

3. Explicar el proceso de implantación de las plantillas de seguridad del CCN para el ENS
categoría básica en un dominio mediante Windows Active Directory en Windows server 2016
(controlador de dominio) y clientes Windows 10 Enterprise.

Para tener los minimos de seguridad en un dominio Windows, recurimos a la guia de

implementacion de seguridas del Centro Criptologico Nacional que estable dos guias, la CCN-
STIC-570A para ser usanda en servidores y la CCN-STIC-599A, en ambas guias se
espesifican las directtivas de seguridad a aplicar.

Para el caso de Windows Server:

Aplicamos la guia CCN-STIC-570A, una vez instalado el servidor Windows con los roles de
Active Directory y DNS que ya viene por defecto al activar el rol de AD, nos dirigimos al
apartado de GPEDIT, donde abriremos la consola de directivas de grupo que nos permitira
importar las directivas que fueron descargada desde la pagina oficial de la guia, creamos la
directiva de referencia del servidor en el nivel superior para que sea aplicado a las demas
unicades organizativas, una vez creada la nueva directiva global, hacemos la importacion del
archivo descargado CCNA-STIC-570 A, al mismo tiempo importamos las claves de uso que
vienen el adjunto, una vez importada la clave de uso y la nueva directiva, podemos modificar
los aparatados que nos interesen o apliquen a nuestra organización, recordando que esta es
una guia de seguridad general basica y depende de cada organización adaptarla, vamos a la
directiva de contrasena, donde podemos elegir cambiar el minimo de complejidad o el tiempo

Código de examen: 208054

que dura la contrasena para ser requerida en su cambio, para nuestro caso dejamos esta
directiva de contrasena tal cual viene porque asi nos viene bien.

Para el caso de Windows 10 Enterprise:

Aplicamos la guia CCN-STIC-599A, siguiendo con los mismos pasos anteriores de descargar
esta politicas, crear dentro de la consola de directivas GPO, la nueva directiva que afectara a
los equipos que esten dejabo en orden de arbol, importamos la clave que viene con la directiva
CCN-STIC-599A, una vez implementada podemos modifcar los apartados que entendemos
que pueden ser de utilidad para nuestra organización, uno de estos en el apartado de equipos,
aquí podemos controlar que los equipo de usurio no instalen programas que no esten validados
o aplicar un mensaje de bienvenida cada vez que el usuario inicia session.

(Responder en 5 caras)

Código de examen: 208054