問題詳情

15.使用者上網的過程中包括使用者的設備、網路資料傳輸過程及遠端伺服器存取,這三個過程都有其攻擊手法,可能造成使用者的損失,下列何者與此類型的攻擊較不相關?
(A)鍵盤側錄
(B)MITM
(C)XSS
(D)SQLinjection。

參考答案

答案:D
難度:適中0.417
書單:沒有書單,新增

用户評論

【用戶】牛奶

【年級】高三上

【評論內容】(A) 鍵盤側錄鍵盤側錄器是一種惡意監控工具,可以側錄您在鍵盤上輸入的所有內容,在鍵盤上的每一次敲擊行為都會被監視。鍵盤側錄極其危險,透過悄悄著留在裝置中,鍵盤側錄就會收集最敏感的資料。在不知情的情況下,您的密碼、銀行詳細資訊或身分證資訊就可能會落入犯罪份子的手中。(B) MITM中間人攻擊(英語:Man-in-the-middle attack,縮寫:MITM)在密碼學和電腦安全領域中是指攻擊者與通訊的兩端分別建立獨立的聯絡,並交換其所收到的資料,使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話,但事實上整個對談都被攻擊者完全控制。在中間人攻擊中,攻擊者可以攔截通訊雙方的通話並插入新的內容。在許多情況下這是很簡單的(例如,在一個未加密的Wi-Fi 無線存取點的接受範圍內的中間人攻擊者,可以將自己作為一個中間人插入這個網路)。一個中間人攻擊能成功的前提條件是攻擊者能將自己偽裝成每一個參與對談的終端,並且不被其他終端識破。中間人攻擊是一個(缺乏)相互認證的攻擊。大多數的加密協定都專門加入了一些特殊的認證方法以阻止中間人攻擊。例如,SSL協定可以驗證參與通訊的一方或雙方使用的憑證是否是由權威的受信任的數位憑證認證機構頒發,並且能執行雙向身分認證。(C) XSS跨網站指令碼(英語:Cross-site scripting,通常簡稱為:XSS)是一種網站應用程式的安全漏洞攻擊,是代碼注入的一種。它允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端手稿語言。XSS攻擊通常指的是通過利用網頁開發時留下的漏洞,通過巧妙的方法注入惡意指令代碼到網頁,使使用者載入並執行攻擊者惡意製造的網頁程式。這些惡意網頁程式通常是JavaScript,但實際上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻擊成功後,攻擊者可能得到更高的權限(如執行一些操作)、私密網頁內容、對談和cookie等各種內容。(D) SQLinjectionSQL注入(英語:SQL injection),也稱SQL隱碼或SQL注碼,是發生於應用程式與資料庫層的安全漏洞。在輸入的字串之中夾帶SQL指令,在設計不良的程式當中忽略了字元檢查,那麼這些夾帶進去的惡意指令就會被資料庫伺服器誤認為是正常的SQL指令而執行,因此遭到破壞或是入侵。

【用戶】牛奶

【年級】高三上

【評論內容】(A) 鍵盤側錄鍵盤側錄器是一種惡意監控工具,可以側錄您在鍵盤上輸入的所有內容,在鍵盤上的每一次敲擊行為都會被監視。鍵盤側錄極其危險,透過悄悄著留在裝置中,鍵盤側錄就會收集最敏感的資料。在不知情的情況下,您的密碼、銀行詳細資訊或身分證資訊就可能會落入犯罪份子的手中。(B) MITM中間人攻擊(英語:Man-in-the-middle attack,縮寫:MITM)在密碼學和電腦安全領域中是指攻擊者與通訊的兩端分別建立獨立的聯絡,並交換其所收到的資料,使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話,但事實上整個對談都被攻擊者完全控制。在中間人攻擊中,攻擊者可以攔截通訊雙方的通話並插入新的內容。在許多情況下這是很簡單的(例如,在一個未加密的Wi-Fi 無線存取點的接受範圍內的中間人攻擊者,可以將自己作為一個中間人插入這個網路)。一個中間人攻擊能成功的前提條件是攻擊者能將自己偽裝成每一個參與對談的終端,並且不被其他終端識破。中間人攻擊是一個(缺乏)相互認證的攻擊。大多數的加密協定都專門加入了一些特殊的認證方法以阻止中間人攻擊。例如,SSL協定可以驗證參與通訊的一方或雙方使用的憑證是否是由權威的受信任的數位憑證認證機構頒發,並且能執行雙向身分認證。(C) XSS跨網站指令碼(英語:Cross-site scripting,通常簡稱為:XSS)是一種網站應用程式的安全漏洞攻擊,是代碼注入的一種。它允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端手稿語言。XSS攻擊通常指的是通過利用網頁開發時留下的漏洞,通過巧妙的方法注入惡意指令代碼到網頁,使使用者載入並執行攻擊者惡意製造的網頁程式。這些惡意網頁程式通常是JavaScript,但實際上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻擊成功後,攻擊者可能得到更高的權限(如執行一些操作)、私密網頁內容、對談和cookie等各種內容。(D) SQLinjectionSQL注入(英語:SQL injection),也稱SQL隱碼或SQL注碼,是發生於應用程式與資料庫層的安全漏洞。在輸入的字串之中夾帶SQL指令,在設計不良的程式當中忽略了字元檢查,那麼這些夾帶進去的惡意指令就會被資料庫伺服器誤認為是正常的SQL指令而執行,因此遭到破壞或是入侵。