Pruebas de Seguridad en Aplicaciones: Cuestionarios y Ejercicios

Question 1

¿Qué herramienta se utiliza principalmente para realizar pruebas de penetración?

Accepted Answer

Burp Suite

Answer

Nessus

Answer

Wireshark

Answer

Microsoft Defender for Endpoint

Question 2

¿Qué tipo de prueba de seguridad en aplicaciones implica el análisis del código fuente para detectar vulnerabilidades?

Accepted Answer

Análisis de código estático

Answer

Prueba de caja negra

Answer

Prueba de caja blanca

Question 3

¿Cuál de las siguientes es una vulnerabilidad de seguridad web frecuente?

Accepted Answer

Inyección SQL

Answer

Error de configuración del servidor

Answer

Fallo de memoria

Answer

Denegación de servicio

Question 4

¿En qué fase de una prueba de penetración se aprovechan las vulnerabilidades encontradas?

Accepted Answer

Explotación

Answer

Informe

Answer

Reconocimiento

Answer

Enumeración

Question 5

¿Qué técnica de análisis de código estático busca patrones de código sospechosos?

Accepted Answer

Reglas basadas

Answer

Abastracción de interpretaciones

Answer

Flujo de datos

Question 6

¿Cuál es un beneficio clave de realizar pruebas de seguridad en aplicaciones?

Accepted Answer

Reducir el riesgo de vulnerabilidades explotables

Answer

Mejorar la experiencia del usuario

Answer

Disminuir los costos de mantenimiento

Answer

Aumentar la velocidad de desarrollo

Question 7

¿Qué estándar internacional proporciona directrices para las pruebas de penetración?

Accepted Answer

OSSTMM

Answer

ISO 27001

Answer

PCI DSS

Answer

GDPR

Question 8

¿Cuál de las siguientes herramientas es específica para realizar análisis de código estático en aplicaciones?

Accepted Answer

Fortify

Answer

Nmap

Answer

Burp Suite

Answer

Metasploit

Question 9

¿Qué principio de seguridad establece que los usuarios deben tener el acceso mínimo necesario para realizar sus tareas?

Accepted Answer

Privilegio mínimo

Answer

Confidencialidad

Answer

Disponibilidad

Answer

Integridad

Question 10

¿Cuál de los siguientes es un beneficio clave de las pruebas de seguridad en aplicaciones?

Accepted Answer

Reducción del riesgo de ataques exitosos

Answer

Mejora de la experiencia del usuario

Answer

Reducción de los costos de mantenimiento

Answer

Aumento de la velocidad de desarrollo

Question 11

¿Qué tipo de análisis de código estático se centra en identificar vulnerabilidades de seguridad específicas?

Accepted Answer

Análisis de vulnerabilidades

Answer

Análisis de estilo

Answer

Análisis de mantenimiento

Answer

Análisis de rendimiento

Question 12

¿Qué técnica de prueba de penetración implica enviar entradas no válidas o aleatorias a una aplicación para identificar comportamientos inesperados?

Accepted Answer

Fuzzing

Answer

Recopilación de información

Answer

Intercepción

Answer

Ingeniería social

Question 13

En las pruebas de seguridad de aplicaciones, ¿qué técnica implica analizar el código de una aplicación sin ejecutarlo para identificar vulnerabilidades?

Accepted Answer

Análisis de código estático

Answer

Pruebas de penetración

Answer

Prueba caja negra

Answer

Prueba caja blanca

Question 14

En las pruebas de penetración, ¿qué tipo de prueba implica simular ataques desde dentro de la red de la organización?

Accepted Answer

Prueba interna

Answer

Prueba caja negra

Answer

Prueba caja blanca

Answer

Prueba híbrida

Question 15

En las pruebas de seguridad de aplicaciones, ¿cuál de las siguientes técnicas se centra en identificar vulnerabilidades que pueden permitir a un atacante obtener acceso no autorizado?

Accepted Answer

Pruebas de penetración

Answer

Análisis de código estático

Answer

Revisión del código

Answer

Auditoría de seguridad

Question 16

¿Qué herramienta se usa comúnmente para realizar análisis de código estático?

Accepted Answer

SonarQube

Answer

Nessus

Answer

Wireshark

Answer

Metasploit

Question 17

En las pruebas de seguridad de aplicaciones, ¿qué técnica implica observar el comportamiento de una aplicación desde fuera sin acceder a su código fuente?

Accepted Answer

Prueba caja negra

Answer

Pruebas de penetración

Answer

Análisis de código estático

Answer

Prueba caja blanca

Question 18

En las pruebas de seguridad de aplicaciones, ¿qué técnica implica escribir y ejecutar código para probar la funcionalidad de una aplicación?

Accepted Answer

Prueba caja blanca

Answer

Análisis de código estático

Answer

Prueba caja negra

Answer

Auditoría de seguridad

Question 19

¿Cuál de los siguientes métodos de prueba de seguridad se centra en identificar vulnerabilidades en el código fuente de una aplicación mediante su revisión estática de forma automatizada?

Accepted Answer

Análisis de código estático

Answer

Pruebas de penetración

Answer

Pruebas de caja blanca

Answer

Pruebas de caja negra

Question 20

En una prueba de penetración, ¿cuál es el objetivo principal del equipo de ataque?

Accepted Answer

Identificar y explotar vulnerabilidades en la aplicación que permitan obtener acceso no autorizado

Answer

Diseñar la arquitectura de la aplicación

Answer

Escribir código de seguridad para la aplicación

Question 21

¿Cuál de las siguientes herramientas se utiliza principalmente para automatizar la búsqueda de vulnerabilidades en el código fuente de una aplicación?

Accepted Answer

Analizador de código estático

Answer

Herramienta de gestión de vulnerabilidades

Answer

Escáner de puertos

Answer

Sistema de detección de intrusiones

Question 22

Un atacante encuentra una vulnerabilidad que permite ejecutar comandos arbitrarios en el servidor web mediante una entrada de usuario. ¿Qué tipo de vulnerabilidad está explotando?

Accepted Answer

Inyección de comandos

Answer

Denegación de servicio

Answer

Acceso no autorizado

Answer

Cross-site scripting (XSS)

Question 23

¿Cuál de las siguientes afirmaciones es CORRECTA sobre las pruebas de caja negra?

Accepted Answer

Los probadores no tienen conocimiento del código fuente de la aplicación y solo interactúan con su interfaz externa

Answer

El objetivo es probar el rendimiento de la aplicación

Answer

Los probadores deben tener acceso al código fuente

Question 24

¿Qué tipo de prueba de seguridad está diseñada específicamente para evaluar la seguridad de las interfaces de programación de aplicaciones (API) de una aplicación?

Accepted Answer

Pruebas de API

Answer

Pruebas de vulnerabilidad

Answer

Análisis de código estático

Answer

Pruebas de penetración web

Question 25

Una empresa ha implementado un nuevo sistema de autenticación de dos factores (2FA). ¿Qué tipo de ataque está tratando principalmente de mitigar?

Accepted Answer

Ataques de fuerza bruta

Answer

Inyección SQL

Answer

Cross-site scripting (XSS)

Question 26

La metodología OWASP TOP 10 es un recurso valioso para:

Accepted Answer

Identificar y clasificar las vulnerabilidades de seguridad web más comunes y críticas

Answer

Implementar medidas de seguridad física

Answer

Diseñar sistemas de detección de intrusiones

Question 27

En el contexto de las pruebas de seguridad, ¿qué es un 'falso positivo'?

Accepted Answer

Un escenario en el que una herramienta de seguridad identifica un problema como una vulnerabilidad, pero en realidad no lo es

Answer

Una herramienta de seguridad no identifica una vulnerabilidad real

Answer

Un atacante explota una vulnerabilidad de seguridad

Question 28

¿Cuál es el objetivo principal de las pruebas de seguridad en aplicaciones?

Accepted Answer

Identificar y mitigar vulnerabilidades para mejorar la seguridad y la resistencia de la aplicación contra amenazas y ataques

Answer

Aumentar el rendimiento de la aplicación

Answer

Reducir los costes de desarrollo

Question 29

¿Cuál de los siguientes es un tipo de prueba de seguridad en aplicaciones que busca identificar vulnerabilidades en el código fuente sin ejecutarlo?

Accepted Answer

Análisis de código estático

Answer

Prueba de caja negra

Answer

Prueba de penetración

Answer

Análisis de riesgos

Question 30

Durante una prueba de penetración, el objetivo principal es:

Accepted Answer

Identificar y explotar vulnerabilidades en un sistema o aplicación

Answer

Realizar análisis de riesgos de seguridad

Answer

Validar la seguridad del código fuente

Question 31

¿Qué tipo de prueba de penetración se lleva a cabo sin conocimiento o autorización del propietario del sistema?

Accepted Answer

Prueba de caja negra

Answer

Prueba de caja gris

Answer

Prueba de fuzzing

Answer

Prueba de caja blanca

Question 32

Una vulnerabilidad de inyección SQL permite a un atacante:

Accepted Answer

Modificar o manipular datos en una base de datos

Answer

Enviar spam a los usuarios

Answer

Obtener acceso físico a los servidores

Answer

Acceder al código fuente de la aplicación

Question 33

¿Cuál de las siguientes herramientas se puede utilizar para automatizar pruebas de penetración?

Accepted Answer

Burp Suite

Answer

Notepad++

Answer

Microsoft Word

Answer

Adobe Photoshop

Question 34

Al realizar análisis de código estático, un analizador de seguridad busca:

Accepted Answer

Patrones de código que puedan indicar vulnerabilidades de seguridad

Answer

Comentarios del código fuente

Answer

Errores de sintaxis en el código

Question 35

Una vulnerabilidad de Cross-Site Scripting (XSS) permite a un atacante:

Accepted Answer

Inyectar código JavaScript en un sitio web

Answer

Cambiar la contraseña de un usuario

Answer

Modificar la configuración del sistema

Answer

Acceder a los archivos del servidor

Question 36

¿Qué tipo de prueba de seguridad en aplicaciones se realiza antes de la implementación del software?

Accepted Answer

Análisis de código estático

Answer

Prueba de estrés

Answer

Prueba de caja negra

Answer

Prueba de penetración

Question 37

Una prueba de fuzzing se utiliza para:

Accepted Answer

Identificar vulnerabilidades inyectando datos aleatorios o inesperados

Answer

Validar la seguridad del sistema operativo

Answer

Analizar el código fuente de la aplicación

Question 38

¿Cuál de los siguientes es un factor importante a considerar al diseñar una estrategia de pruebas de seguridad en aplicaciones?

Accepted Answer

El tipo de aplicación y su contexto de uso

Answer

El precio de las herramientas de seguridad

Answer

La experiencia del equipo de pruebas

Answer

La disponibilidad de los desarrolladores

Question 39

¿Cuál de las siguientes es una técnica de prueba de penetración?

Accepted Answer

Inyección de SQL

Answer

Prueba de fuzzing

Answer

Análisis de código estático

Answer

Análisis de puertos

Question 40

¿Qué herramienta se utiliza para realizar análisis de código estático?

Accepted Answer

Fortify

Answer

nmap

Answer

Wireshark

Answer

Metasploit

Question 41

¿Cuál de los siguientes es un beneficio de las pruebas de seguridad de aplicaciones?

Accepted Answer

Identificación temprana de vulnerabilidades

Answer

Mejora de la experiencia del usuario

Answer

Cumplimiento normativo

Answer

Reducción de costos

Question 42

¿Qué tipo de prueba de seguridad de aplicaciones es manual?

Accepted Answer

Prueba de caja negra

Answer

Prueba de caja blanca

Answer

Prueba de penetración

Question 43

¿Cuál de las siguientes es una vulnerabilidad de inyección de SQL?

Accepted Answer

Insertar datos maliciosos en una base de datos

Answer

Elevación de privilegios

Answer

Denegación de servicio

Answer

Obtener acceso no autorizado a un sistema

Question 44

¿Qué estándar internacional define los requisitos para las pruebas de seguridad de aplicaciones?

Accepted Answer

ISO/IEC 27030

Answer

PCI DSS

Answer

NIST 800-53

Answer

GDPR

Question 45

¿Cuál de las siguientes es una herramienta de fuzzing?

Accepted Answer

Sulley

Answer

Fortify

Answer

Wireshark

Answer

Burp Suite

Question 46

¿Qué tipo de prueba de penetración implica probar una aplicación desde la perspectiva de un atacante externo?

Accepted Answer

Prueba de caja negra

Answer

Prueba de penetración basada en riesgos

Answer

Prueba de penetración dirigida

Answer

Prueba de caja blanca

Question 47

¿Cuál de las siguientes es una debilidad de las pruebas de seguridad de aplicaciones estáticas?

Accepted Answer

No pueden detectar vulnerabilidades en tiempo de ejecución

Answer

Requieren acceso al código fuente

Answer

Son lentas y costosas

Question 48

¿Qué principio de seguridad subraya la importancia de probar todas las entradas de una aplicación?

Accepted Answer

Validación de entrada

Answer

Economía de mecanismos

Answer

Separación de privilegios

Answer

Diseño de menor privilegio