Rúbrica PR5031 - Vulnerabilitats OWASP
Mòdul: 5023 - Posada en Producció Segura
Pràctica: PR5031
Puntuació màxima: 10 punts
Criteris d'avaluació
| Criteri |
Excel·lent (100%) |
Bé (75%) |
Suficient (50%) |
Insuficient (0%) |
Pes |
| 1. SQL Injection |
Explotació correcta + dades extretes + mitigació implementada + SQLMap |
Explotació + mitijació |
Explotació sense mitigació |
No s'ha realitzat |
20% |
| 2. XSS |
XSS reflexiu + persistent + cookie capturada + CSP configurada |
Reflexiu + persistent sense captura |
Únicament reflexiu |
No s'ha realitzat |
20% |
| 3. Autenticació |
Força bruta + anàlisi JWT + mitigació |
Força bruta + mitigació |
Força bruta sense mitigació |
No s'ha realitzat |
20% |
| 4. Capçaleres |
Anàlisi completa + implementació Flask-Talisman + verificació |
Anàlisi + implementació |
Únicament anàlisi |
No s'ha realitzat |
15% |
| 5. Juice Shop |
7+ reptes amb categoria OWASP identificada |
5-6 reptes |
3-4 reptes |
Menys de 3 reptes |
15% |
| 6. Informe |
Informe complet amb captures, codi corregit i reflexions |
Informe complet sense alguna captura |
Informe parcial |
Informe inexistent |
10% |
Criteris d'avaluació del currículum coberts
| CA |
Descripció |
Evidència |
| CA3.1 |
Validació d'entrades |
Mitigació SQL injection + XSS |
| CA3.2 |
Detecció de riscos d'injecció |
Explotació DVWA/WebGoat |
| CA3.3 |
Gestió de sessions |
Anàlisi i atac JWT |
| CA3.5 |
Emmagatzematge segur contrasenyes |
MD5 → bcrypt |
| CA3.6 |
Configuració de servidors web |
Capçaleres seguretat HTTP |
| CA3.7 |
Contramesures contra bots |
Rate limiting, fail2ban |