題庫堂
檢索
題庫堂
首頁
數學
英文學習
政治學
統計學
經濟學
藥理學
中醫藥物學
財政學
法學知識
公共行政
警察學
BI規劃師
財務管理
公共衛生學
工程經濟學
電力電子學
當前位置:
首頁
4. 下列哪些是目前 2021 版 OWASP Top 10 中所包含的前 10 種常見風險類別?(A) 權限控制失效(Broken Access Control)(B) 跨站請求偽造(Cross-S
問題詳情
4. 下列哪些是目前 2021 版 OWASP Top 10 中所包含的前 10 種常見風險類別?
(A) 權限控制失效(Broken Access Control)
(B) 跨站請求偽造(Cross-Site Request Forgery)
(C) 注入式攻擊(Injection)
(D) 加密機制失效(Cryptographic Failures)
參考答案
答案:A,C,D
難度:
困難
0.36
書單:
沒有書單,新增
上一篇 :
3. 駭客為了追求最大利益,將亂槍打鳥的隨機攻擊轉換成目標式攻擊,進階持續性威脅(Advanced Persistent Threats, APT)即是最難防禦的目標式攻擊。關於 APT 攻擊的敘述,
下一篇 :
【題組 1】組織內部正在導入相關以技術來審查脆弱性補強的工具,包含作業系統弱點掃描、滲透測試、社交工程等,以下描述是針對這些工具實施之後,相關後續處理的議題。【題組】5. 【題組 1 背景描述如附圖】
資訊推薦
【題組】6. 【題組 1 背景描述如附圖】下列何者「不」是利用工具技術偵測應用系統弱點的機制?(A) 弱點掃描(B) 滲透測試(C) 社交工程(D) 源碼檢測
【題組】7. 【題組 1 背景描述如附圖】下列何種資產不會產生資訊系統安全弱點暴露的風險,被外界所利用攻擊?(A) 電腦硬體資產(B) 電腦軟體資產(C) 電腦資料資產(D) 人員資產
【題組】8. 【題組 1 背景描述如附圖】下列哪些是資訊安全管理系統實施中須考量的系統弱點?(A) 源碼掃描後的高風險結果(B) 滲透測試後的高風險結果(C) Microsoft 定期發布的 Wind
9. 零時差攻擊(Zero-day Attack)是指駭客利用開發商尚未釋出修補程式的安全漏洞進行攻擊。下列敘述何者錯誤?(A) 零時差攻擊不會出現在已停止支援之作業系統中(B) 面對零時差攻擊,入侵
10. 社交工程是利用人性弱點誘騙受害者透漏機敏性資料或是允許授權等行為,下列敘述何者錯誤?(A) 網路釣魚是最常見的社交工程的攻擊手法(B) 社交工程演練的目的是要培養員工反擊的能力,進而破壞駭客的
11. 路由協定(Routing Protocol)是一種指定封包轉送方式的網路協定,請問關於路由協定之敘述,下列何者錯誤?(A) 路由資訊協定(Route Information Protocol,
12. 當網路防火牆受到偵測攻擊時,下列何者最「不」適宜?(A) 對外管理 Port 應該關閉(B) 最高權限應該提供給維護廠商(C) 定期檢視規則是否過期(D) 告警應該有專人確認與處置
13. 關於 MITRE ATT&CK 中的網路服務阻斷(Network Denial of Service)技術(Technique)對策,下列何項錯誤? (A) 可分析應用程式日誌(App
14. 關於 MITRE ATT&CK 中的資料加密衝擊(Data Encryptedfor Impact)技術對策,下列何項錯誤?(A) 可透過資料備份(Data Backup)來緩解此技術(B)
15. 身分驗證機制是利用帳戶密碼進行作為識別使用者的機制,是多數資訊系統驗證使用者身分的基礎。關於身分驗證機制的敘述,下列哪些正確?(A) 設定「最小密碼長度」的原則主要是要產生更多的密碼組合,提高
16. NIST 網路安全框架(Cybersecurity Framework, CSF)有關「框架核心(Framework Core)」係由識別(Identify)、保護(Protect)、偵測(D
【題組 2】駭客勒索集團入侵年收五百億上市公司,對其重要資料庫系統與研發系統破壞勒索加密,經過相關緊急應變後,費時近半個月才恢復公司正常運營,事後總經理召開檢討會議進行檢討。【題組】17. 【題組 2
【題組】18. 【題組 2 背景描述如附圖】國際勒索集團公司勒索 5000 萬美金,不然公開該公司機密資料。該勒索集團手法竟是透過公司郵件系統以釣魚郵件方式,讓內部員工執行惡意程式所造成,針對郵件安全
【題組】19. 【題組 2 背景描述如附圖】勒索集團對公司機密資料進行加密,公司 IT 或是資安團隊應採取的應變措施,下列何項較「不」適當?(A) 聯繫駭客勒索集團,進行贖金交易取回解密密碼(B) 查
【題組】20. 【題組 2 背景描述如附圖】從這次員工電腦因釣魚郵件感染而擴散到不同網段與主機系統,下列哪些是在資安管理制度或防護技術最適宜的措施?(A) ISO27001:2022 版本在其控制項
21. ISO/IEC 27001 是資訊安全管理的國際標準,ISO 27001 認證是在確保公司擁有一套安全穩固的資訊管理系統來保護公司內部重要的資訊財產。下列敘述何者錯誤?(A) ISO/IEC
22. 依照我國「資通安全事件通報及應變辦法」的規定,公務機關知悉資通安全事件後,應於多少時間之內,依主管機關指定之方式及對象,進行資通安全事件之通報?(A) 1 小時內(B) 8 小時內(C) 24
23. 關於備份 3-2-1 原則的敘述,下列何者正確?(A) 以儲存媒體而言,分開存放在兩種不同儲存媒體(B) 至少三份,分別放到硬碟的C槽跟D槽(C) 資料分別存放在辦公室不同樓層(D) 備份資料
24. 在組織 ISMS 制度中之服務級別協定( Service-LevelAgreement, SLA)要求妥善率達到5個9的標準下,請問在一年中,下列哪些停機時間在容許的範圍內?(A) 30 秒(
【題組 3】王大明剛接下某製造業資安工作,於本週發生了勒索軟體將公司資料加密,並收到歹徒所指示的付款要求。【題組】25. 【題組 3 背景描述如附圖】勒索軟體除了加密資料進行勒索之外,還可能有許多危害
【題組】26. 【題組 3 背景描述如附圖】本事件可能遭成的後續影響,針對資料被加密,請問主要是破壞了下列哪一項的資安原則?(A) 可用性(B) 機密性(C) 完整性(D) 可歸責性
【題組】27. 【題組 3 背景描述如附圖】經過調查後,最「不」可能取得網域伺服器的最高權限為下列何項?(A) 防火牆本身的漏洞(B) 郵件伺服器漏洞(C) 社交工程(D) 入侵供應鏈廠商
【題組】28. 【題組 3 背景描述如附圖】請問下列哪些是組織可掌握的復原或處理方式?(A) 還原關鍵系統與其資料(B) 確認是否還有潛藏惡意程式(C) 調查攻擊手法及路徑(D) 直接付款取回加密金鑰
29. 資訊系統常透過組態檔案提供初始參數或是預設功能設定值,當系統組態被不當或是錯誤的設定就容易產生安全漏洞。下列敘述何者錯誤?(A) 啟用預設帳號密碼是最常見的設定缺陷,像是有些軟體元件為了設定上
30. 下面何項「不」是源碼檢測工具?(A) SonarQube(B) Checkmarx(C) Fortify(D) Nexpose