Modelo 2 Seguridad de Aplicaciones

NotActions se restan de Actions para definir la lista de operaciones permitidas.

NotActions se consulta después de Actionspara denegar el acceso a una operación específica.

NotActions permite especificar una única operación que no está permitida.

NINGUNA DE LAS ANTERIORES.

Los recursos solo pueden incluirse en un grupo de recursos.

Control de acceso basado en rol.

Se pueden anidar.

Ninguna de las anteriores.

Grupo de administración, grupo de recursos, suscripción, recurso

Grupo de administración, suscripción, grupo de recursos, recurso

Suscripción, grupo de administración, grupo de recursos, recurso.

Ninguna de las anteriores.

 XSS

REDIRECT

LFI

Ninguna de las anteriores.

La configuración en modo proxy inverso es la menos deseable.

Se debe proporcionar redundancia en la configuración de los WAF.

Pueden efectuar validaciones de tipo whitelist, blacklist o una combinación de ambos tipos.

Blacklist, consiste en mantener una base de datos de firmas de ataques mientras que whitelist consiste en tener un modelo de tráfico aceptado entre aplicación y el cliente

Cifra las credenciales en todas las peticiones

Codifica las credenciales en todas las peticiones.

HASH de las credenciales en todas las peticiones.

Cifra y codifica las credenciales en todas las peticiones.

MONOLÍTICA

 MODULAR

MIXTA

Ninguna de las anteriores

 XSS

XST

SQLI

CSRF

De tipo caja blanca

De tipo caja negra

Las hay de caja negra y de caja blanca

Ninguna de las anteriores

Definición de un pipo de vulnerabilidad de forma genérica.

Un tipo de ataque.

Publicación de la existencia de una vulnerabilidad concreta en un software concreto.

Un proyecto OWASP