2.3 Explicar diversos tipos de vulnerabilidades.

Visión General

El video abordará diversos vectores de ataque que apuntan a diferentes capas de la infraestructura tecnológica. Explorará ataques basados en aplicaciones como inyecciones de memoria, desbordamientos de búfer y condiciones de carrera, incluyendo Time of Check (TOC) y Time of Use (TOU). Además, el video cubrirá los riesgos asociados con actualizaciones maliciosas, ataques basados en sistemas operativos y amenazas web, incluyendo inyección SQL (SQLi) y Cross-Site Scripting (XSS). También se discutirán vulnerabilidades relacionadas con el hardware, como explotaciones de firmware, hardware al final de su vida útil y sistemas heredados, junto con riesgos de virtualización como escapes de máquinas virtuales y reutilización de recursos. Además, el video tratará sobre amenazas específicas de la nube, vulnerabilidades en la cadena de suministro que involucran a proveedores de servicios, vendedores de hardware y proveedores de software, ataques criptográficos, malas configuraciones, vulnerabilidades en dispositivos móviles incluyendo la instalación lateral y el jailbreaking, y vulnerabilidades de día cero. Al entender estos diversos vectores de ataque, los espectadores estarán mejor equipados para identificar y mitigar los posibles riesgos de seguridad en diversos entornos tecnológicos.

Términos Clave

  • • Aplicación
  • - Inyección de memoria
  • - Desbordamiento de búfer
  • - Condiciones de carrera
  • o Tiempo de control (TOC)
  • o Tiempo de uso (TOU)
  • - Actualización maliciosa
  • • Basado en sistemas operativos (OS)
  • • Basado en la web
  • - Structured Query Language injection (SQLi)
  • - Secuencias de comandos entre sitios (XSS)
  • • Hardware
  • - Firmware
  • - Final de la vida
  • - Heredado
  • • Virtualización
  • - Escape de máquina virtual (VM)
  • - Reutilización de recursos
  • • Específico de la nube
  • • Cadena de suministro
  • - Proveedor de servicio
  • - Proveedor de hardware
  • - Proveedor de software
  • • Criptográfico
  • • Mala configuración
  • • Dispositivo móvil
  • - Carga lateral
  • - Jailbreaking
  • • Día cero

    • Sección 2.3 Cuestionario

    Bart le está mostrando a Wendell una nueva aplicación que descargó de un tercero en su iPhone. Wendell tiene el mismo modelo de smartphone, pero cuando busca la aplicación, no puede encontrarla. De las siguientes opciones, ¿cuál es la explicación MÁS probable para esto?

    • Jailbreaking
    • Tethering
    • Sideloading
    • Rooting

    Sección 2.3 Cuestionario

    Al investigar problemas de rendimiento en un servidor web, verificaste que el uso de CPU era de aproximadamente el 10 por ciento hace cinco minutos. Sin embargo, ahora muestra que el uso de CPU ha estado promediando más del 98 por ciento durante los últimos dos minutos. ¿Cuál de las siguientes describe MEJOR lo que este servidor web está experimentando?

    • Agotamiento de recursos
    • DDoS
    • Un ataque de desbordamiento de búfer
    • Una fuga de memoria

    Sección 2.3 Cuestionario

    Al revisar los registros de una aplicación web, un analista de seguridad nota que se ha caído varias veces, reportando un error de memoria. Poco después de caerse, los registros muestran código malicioso que no es parte de una aplicación conocida. ¿Cuál de los siguientes es MÁS probable que esté ocurriendo?

    • Desbordamiento de búfer
    • Envenenamiento de DNS
    • Escalada de privilegios
    • Repetición

    Sección 2.3 Cuestionario

    Mirando los registros de una aplicación web en línea, ves que alguien ha introducido la siguiente frase en varias consultas: ' or 1=1;--. ¿Cuál de las siguientes proporciona la MEJOR protección contra este ataque?

    • Normalización
    • Manejo adecuado de errores
    • Eliminación de código muerto
    • Procedimientos almacenados

    Sección 2.3 Cuestionario

    Estás examinando registros generados por una aplicación web en línea. Notas que la siguiente frase aparece en varias consultas: ' or 1=1; -- ¿Cuál es la explicación MÁS probable para esto?

    • Un ataque de desbordamiento de búfer
    • Un ataque de inyección de DLL
    • Un ataque de inyección SQL
    • Una condición de carrera

    Tu organización ha creado una aplicación web que estará en línea después de que se complete la prueba. Un probador de aplicaciones ve que se usa la siguiente URL en el sitio web: https://getcertifiedgetahead.com/app/info.html. El probador reenvía la siguiente URL al sitio web: https://getcertifiedgetahead.com/app/../../etc/passwd. ¿Qué ataque está comprobando el probador?

    • Traversión de directorio
    • Desbordamiento de búfer
    • Scripting entre sitios
    • Condición de carrera

    Estás realizando una evaluación de la cadena de suministro para tu organización. ¿Cuál de los siguientes grupos normalmente no estaría incluido en este tipo de evaluación?

    • Proveedor de catering
    • Proveedor de hardware
    • Proveedor de software
    • Proveedor de servicios

    Los usuarios en tu organización firman sus correos electrónicos con firmas digitales. ¿Cuál de los siguientes proporciona integridad para estas firmas digitales?

    • Hashing
    • Encriptación
    • No repudio
    • Clave privada

    ¿Cuál es la principal diferencia entre un cifrado de bloque y un cifrado de flujo?

    • Un cifrado de flujo encripta los datos 1 bit o 1 byte a la vez.
    • Un cifrado de bloque encripta los datos 1 bit o 1 byte a la vez.
    • Los cifrados de flujo se utilizan para la encriptación simétrica, pero los cifrados de bloque se utilizan para la encriptación asimétrica.
    • Los cifrados de bloque se utilizan para la encriptación simétrica, pero los cifrados de flujo se utilizan para la encriptación asimétrica.

    Un desarrollador está creando una aplicación que cifrará y descifrará datos en dispositivos móviles. Estos dispositivos no tienen mucha capacidad de procesamiento. ¿Cuál de los siguientes métodos criptográficos tiene MENOS sobrecarga y puede proporcionar encriptación para estos dispositivos móviles?

    • Criptografía de curva elíptica
    • Secreto perfecto hacia adelante
    • Salting
    • Firmas digitales
    Video Anterior: 2.2
    Siguiente Video: 2.4