Untitled Quiz

Questions and Answers

¿Cuál es la principal razón para no mostrar la información detallada de los errores al usuario?

• Para evitar confundir al usuario.
• Para proteger la confidencialidad del sistema.
• Para enviar información útil al fichero de log. (correct)
• Para minimizar el uso de recursos del sistema.

¿Qué característica es fundamental en la separación de funciones de una aplicación?

• Los administradores deben tener más privilegios que los usuarios normales. (correct)
• Los roles deben ser intercambiables entre los usuarios.
• Todos los usuarios deben tener los mismos privilegios.
• Debe eliminarse el concepto de administrador.

¿Por qué no debería basarse la seguridad en la oscuridad?

• Porque permite a los atacantes obtener más información.
• Porque podría crear una falsa sensación de seguridad. (correct)
• Porque dificulta la gestión de los errores.
• Porque es una técnica extendida en la seguridad informática.

¿Qué proporciona el proyecto OWASP a los desarrolladores de software?

Herramientas y guías para asegurar la creación de software seguro. (C)

¿Cuál es un componente crucial en el ciclo de vida del desarrollo de software seguro (S-SDLC)?

La implementación de controles de auditoría periódicos. (B)

¿Qué debe fundamentarse para mejorar la seguridad de una aplicación, según el contenido?

Políticas de contraseñas y diseño arquitectónico sólido. (B)

¿Qué elemento puede considerarse un control de seguridad débil?

La ocultación de detalles sobre el diseño del sistema. (D)

¿Qué rol tiene el proyecto OWASP en la seguridad del desarrollo de software?

Identifica y combate las causas de inseguridad en el software. (A)

¿Cuál es el objetivo principal de la prueba del software?

Identificar errores que ocurrieron accidentalmente en el diseño y la construcción. (C)

¿Cuál de las siguientes afirmaciones describe mejor el comienzo de las pruebas de software?

La prueba comienza a nivel de componente y avanza hacia la integración del sistema. (A)

¿Qué se recomienda hacer antes de comenzar el proceso de prueba para eliminar errores?

Llevar a cabo revisiones técnicas. (C)

¿Quiénes son responsables de realizar las pruebas del software en proyectos de gran envergadura?

Un grupo de pruebas independiente. (C)

¿Qué diferencia existe entre pruebas y depuración en el proceso de software?

Las pruebas son previas a la depuración, pero ambas son necesarias en la estrategia de prueba. (D)

¿Cuál es un objetivo crucial en el diseño de casos de prueba?

Desarrollar un conjunto de pruebas que maximicen la probabilidad de encontrar errores. (B)

¿Qué técnica se debe considerar al desarrollar casos de prueba?

Utilizar técnicas de caja blanca y caja negra según el enfoque de desarrollo. (C)

En el contexto de pruebas de software, ¿qué papel tiene el rastreo de los casos de prueba?

Los casos de prueba deben poder rastrearse hasta los requerimientos del software. (B)

¿Cuál de los siguientes riesgos se relaciona con la inyección de código malicioso en páginas web del lado del cliente?

Cross-site scripting (XSS) (A)

¿Qué práctica se sugiere para minimizar el riesgo de autenticaciones incorrectas?

Implementación de controles de acceso (D)

¿Cuál de los siguientes controles proactivos debe incluirse en cada proyecto de desarrollo de software según OWASP?

Gestión de sesiones (A)

¿Qué metodología se propone para enfrentar a los atacantes de software?

Implementación de metodologías de desarrollo de software seguro (B)

¿Cuál de los siguientes es un defecto que los desarrolladores pueden prevenir con un mejor conocimiento sobre las técnicas de los atacantes?

Desbordamiento del búfer (C)

¿Qué tipo de inyección de código permite el acceso no autorizado a la base de datos?

Inyección de SQL (A)

¿Qué proceso se recomienda desde las primeras etapas del desarrollo para garantizar la seguridad del software?

Verificación de la seguridad (D)

¿Cuál es el objetivo principal del manejo de errores y excepciones en el desarrollo de software seguro?

Prevenir la exposición de información sensible (D)

Flashcards

Prueba de software

Conjunto de actividades planificadas y sistemáticas para encontrar errores en el software.

Plantilla de prueba

Estructura que define pasos y técnicas para diseñar casos de prueba y métodos para probar el software.

Estrategia de pruebas

Plan para la planificación, ejecución y control de pruebas, considerando elementos pequeños y el software completo.

Revisiones técnicas

Acciones para eliminar errores en el software antes de las pruebas.

Prueba de componente

Prueba de los elementos individuales del software, para luego integrarlos.

Técnica de prueba

Metodologías específicas para diseñar y realizar casos de prueba.

Casos de prueba

Conjunto de pruebas diseñadas para encontrar errores con la mayor probabilidad.

Pruebas de caja blanca/negra

Categorías de técnicas de diseño de casos de prueba que se describen en secciones posteriores.

Separación de funciones

Asegurar que diferentes roles de usuario tengan acceso a funciones específicas de acuerdo a su nivel de privilegio.

Privilegios avanzados

Permisos especiales que otorgan a ciertos usuarios acceso a funciones o datos sensibles.

¿Qué significa seguridad por oscuridad?

Depender de la ocultación del diseño o implementación de una aplicación para asegurarla.

Control de seguridad débil

Una protección que no es robusta ni confiable, especialmente si es la única medida implementada.

OWASP (Open Web Application Security Project)

Proyecto de código abierto dedicado a combatir las causas que generan software inseguro.

S-SDLC (Ciclo de vida de desarrollo de software seguro)

Un proceso de desarrollo de software que incluye medidas de seguridad en cada etapa.

¿Para qué sirve OWASP?

Ayudar a los desarrolladores a comprender cómo y cuándo probar aplicaciones web para encontrar vulnerabilidades.

Errores de software

Información detallada de los errores no se muestra al usuario. Solo se envía a un registro.

Desbordamiento del búfer

Un error que ocurre cuando un programa escribe datos más allá de la memoria asignada a una variable, corrompiendo datos adyacentes.

Cross-site scripting (XSS)

Inyección de código malicioso en páginas web del lado del cliente, para que se ejecute en el navegador del usuario.

SQL injection

Técnica para introducir código SQL malicioso en un formulario web para acceder o modificar datos de la base de datos.

Validación de entradas incorrectas

No validar los datos de entrada, como tipos de datos, formato o longitud, puede llevar a errores o vulnerabilidades.

Autenticaciones incorrectas

No validar los permisos de acceso, puede permitir que usuarios no autorizados accedan a información sensible.

Code injection

Inyección de código fuente malicioso en la aplicación para su ejecución, lo que podría dar acceso a la aplicación.

Verificación de la seguridad desde las primeras etapas de desarrollo

Incorporar medidas de seguridad en el proceso de desarrollo desde el principio, en lugar de agregarlas al final.

Metodologías de desarrollo de software seguro

Utilizar métodos de desarrollo que priorizan la seguridad en cada fase, como el análisis de riesgos, el diseño seguro y las pruebas de seguridad.

Study Notes

Seguridad del Software - UCASAL

• Índice: Incluye temas como introducción a sistemas de información, proceso de desarrollo de software, calidad del software, seguridad del software y pruebas del software.
• Unidades/Temas: Organiza el material de estudio en unidades con subtemas específicos:
  • Sistemas de Información (componentes, sistemas de información, sistemas informáticos, analistas de sistemas).
  • Proceso de desarrollo de software (introducción, software, ingeniería de software, proceso de construcción del software, metodologías prescriptivas y ágiles).
  • Calidad del software (introducción, calidad, calidad del software, calidad y seguridad, revisiones, revisiones ágiles).
  • Seguridad del software (introducción, propiedades del software seguro, principios de diseño seguro de aplicaciones, controles proactivos OWASP, metodologías de desarrollo de software seguro).
  • Pruebas del software (introducción, enfoque estratégico para la prueba de software, pruebas de caja blanca, pruebas de caja negra, integración continua, pruebas especializadas para la movilidad).
• Recursos: Menciona conceptos como hardware, software, personas, documentos, base de datos, procesos, como componentes de un sistema informático y un sistema de información.
• Referencias: Incluye la información sobre referenciación de iconos que corresponden a distintas actividades de la plataforma educativa.

Mensaje de Bienvenida

• Objetivo: Presentar la importancia de la seguridad del software en la vida cotidiana.
• Tecnología: La creciente complejidad de las soluciones de software actuales hace aún más importante la aplicación de criterios de seguridad en todo el proceso de desarrollo.
• Aportes: El desarrollo de software es cada vez más relevante para la sociedad en diversos aspectos (personal, laboral, académico, etc.).

Introducción

• Contenido: El alumno aprenderá sobre la importancia de la seguridad del software en las diferentes fases de su construcción, en los equipos de trabajo relacionados con esos procesos, y la relevancia de esos equipos y perfiles en la actualidad.
• Sistemas de Información: El estudiante comprenderá conceptos básicos desde la funcionalidad de un sistema de información, hasta el proceso de desarrollo de software y seguridad.