Impugnar pregunta 66

Temas relacionados con el examen de test
Responder
_0p0s1t0r_
Usuario registrado
Mensajes: 49
Registrado: 02 Jun 2018, 23:29
Agradecido: 0
Agradecimiento recibido: 0

Impugnar pregunta 66

Mensaje por _0p0s1t0r_ »

66. Según OWASP, las técnicas de “fuzzing” se utilizan para detectar problemas de seguridad mediante:
a. La inyección de valores anómalos durante la ejecución.
b. La inspección automátizada del código fuente por ejecución de caminos aleatorios.
c. La sobrecarga del servidor con peticiones concurrentes aleatorias.
d. El análisis dinámico de las librerías de la aplicación en tiempo de ejecución.

Desde mi punto de vista esta pregunta es impugnable porque las respuestas a, b y c puede corresponder al término de "fuzzing". Me explico:

Respuesta a)
Acepto barco. :D

Respuesta b)
En la sección "Why Fuzz" de https://www.owasp.org/index.php/Fuzzing se indica el siguiente texto que da pie a entender que se pueden utilizar técnicas de fuzzing para probar el código fuente de forma automatizada.
"The purpose of fuzzing relies on the assumption that there are bugs within every program, which are waiting to be discovered. Therefore, a systematical approach should find them sooner or later."
Además, en la sección "Recursive fuzzing" de https://www.owasp.org/index.php/OWASP_T ... zz_Vectors se indica que el siguiente texto, donde hace referencia a valores secuenciales y esperados, por lo que las técnicas de fuzzing no se restringirían a valores anómalos como indica la respuesta a).
Recursive fuzzing can be defined as the process of fuzzing a part of a request by iterating through all the possible combinations of a set alphabet. Consider the case of:

http://www.example.com/8302fa3b

Selecting "8302fa3b" as a part of the request to be fuzzed against the set hexadecimal alphabet (i.e. {0,1,2,3,4,5,6,7,8,9,a,b,c,d,e,f}) falls under the category of recursive fuzzing. This would generate a total of 16^8 requests of the form:

http://www.example.com/00000000
...
http://www.example.com/11000fff
...
http://www.example.com/ffffffff
Respuesta c)
Dado que las técnicas de fuzzing permiten introducir valores esperados y no esperados de forma aleatoria, a través del uso de valores cuya longitud/tamaño podría incrementarse de forma automática hasta llegar a un gran tamaño, es posible sobrecargar un servidor al tener que procesar grandes cantidades de datos de forma simultánea, máxime si se utilizan varios hilos.

Saludos.

_0p0s1t0r_
Usuario registrado
Mensajes: 49
Registrado: 02 Jun 2018, 23:29
Agradecido: 0
Agradecimiento recibido: 0

Re: Impugnar pregunta 66

Mensaje por _0p0s1t0r_ »

Hola,

En relación a esta pregunta, entono el mea culpa en relación a la respuesta b) ya que el fuzzing estaría enfocado a técnicas de caja negra, pero sigo mantenimiento la viabilidad de la respuesta c).

Saludos

Responder

Volver a “PRIMER EXAMEN 2018”