題庫堂
檢索
題庫堂
首頁
數學
英文學習
政治學
統計學
經濟學
藥理學
中醫藥物學
財政學
法學知識
公共行政
警察學
BI規劃師
財務管理
公共衛生學
工程經濟學
電力電子學
當前位置:
首頁
9.在網站弱點檢測報告中,發現系統本身有存在 XSS 及 OpenRedirect 問題,可以採取下列何者方案進行修補?(A)XSS 可以透過過濾此符號”<”,即可根治(B) Open Redirec
問題詳情
9.在網站弱點檢測報告中,發現系統本身有存在 XSS 及 OpenRedirect 問題,可以採取下列何者方案進行修補?
(A)XSS 可以透過過濾此符號”<”,即可根治
(B) Open Redirect 可以採用圖像式驗證即可根治
(C) HTML.Encode 是可以解決 XSS 的一種方法
參考答案
答案:C
難度:
非常簡單
1
書單:
沒有書單,新增
上一篇 :
8.公司收到主管機關要求,必須每年進行網路資安健檢,下列何者方式較「不」符合?(A)遠端網路弱點掃描(Network Vulnerability Assessment)(B) 遠端滲透測試(Penet
下一篇 :
10.在日常檢查時發現 10.10.1.1 (web),10.10.1.2 (db)發現入侵警訊風險如附圖內容所示時,請問第一步應該做?2018/07/07 src:199.199.199.1 dst
資訊推薦
11. (單選題)如果網站遭遇入侵行為,在採取風險應變處置及改善時,下列敘述何者較「不」正確?(A)用防火牆或網站應用程式防火牆(Web Application Firewall, WAF)先暫時將此
12.依據下圖所示之結果,此為 OWASP Top 10 – 2017 文件敘述的何項風險分類? (A)Cross-Site Scripting(XSS)(B) XML External Entiti
13.關於資訊與通訊系統安全經常使用到密碼學,下列應用功能何者設計「不」正確?(A)使用雜湊函數(Hash function)來檢查設備韌體是否被竄改過(B) PGP 郵件加密軟體可採用公鑰加密與私鑰
14.公司資訊室主任要求 MIS 人員每一季使用 Nessus 掃瞄工具進行公司內部網段掃瞄,下列何者「不」是本項作業的目的?(A)辨認目前主機系統的弱點(B) 模擬駭客人工入侵發掘系統中未知的漏洞(
15.在 OWASP Top 10 2017 中,其 A9 項目說明使用含有已知漏洞的元件。而在軟體開發時,為減少 A9 項目的發生,下列何種作法為佳?(A)限制可以使用的元件(B) 使用強的加密演算
16. (複選題) 網頁瀏覽器的 Cookies 並未使用加密保護機制,因此網站設計者為圖下次登入方便性,如果將使用者帳密儲存在 Cookie 之中,此種安全漏洞可以讓駭客使用哪些網頁攻擊手法取得Co
17. (複選題) 透過安全設定 HTTP Header 標頭,能夠使瀏覽器進行相關的限制,讓網站與使用者瀏覽器之間有更多的安全防護。下列哪些 HTTPHeader 標頭可達上述功能?(A)HTTP
18. (複選題) 在雲端的架構中,有安全的聯合身分管理(Federated IdentityManagement)機制,可進行多組織之間的單點登錄(SSO),在多個組織之間進行身分驗證與授權。而相關
19. (複選題)資通安全管理法通過後,對公務機關與特定非公務機關之資安事件應變通報要求更為明確,搭配政府持續推動之資安資訊分享與分析中心(Information Sharing and Analys
20. (複選題) 企業進行客戶會員網站的滲透測試時,應該要注意下列哪些項目,以確保滲透測試的範圍完整性?(A)網站暴露在 Internet 上的前後台網址(B) 要求一定在上班時間進行測試(C) 要
(題組題 1) 某公司資安稽核部門進行年度檢視稽核,抽驗(1) Web 資安黑箱檢測報告、(2)資料庫紀錄、(3)資訊系統存取紀錄以及(4)研發人員端點電腦記錄,請就下列紀錄與報告內容關連性,回答相關
【題組】22. 上述情境中,關於資料庫交易記錄,下列敘述何者「不」正確?(A)可以知道這是一個網站系統與資料庫在同一部主機(B) 1ogin.asp 備份後被儲存在 IIS 網站目錄下(C) 該交易記
【題組】23. 上述情境中,關於 IIS Access log,下列敘述何者「不」正確?(A)10.10.1.100,在 IIS Log format 預設順序指是 Client IP(B) 100.
【題組】24.上述情境中,關於研發人員端點電腦記錄,下列敘述何者「不」正確?(A)該員工利用 bitsadmin 下載一張圖片,下載效率很高(B) Certutil.exe 可用來傾印顯示憑證單位(C
(題組題 2) 某公司因資安考量,重新規劃對外網站的連線架構,AP 與 DB Server放在 Intranet,Reverse proxy(Web)放在 DMZ,對外 Web 連線使用SSL 連線,
【題組】26. 上述情境中,當攻擊發生時,IPS 在當下並無觸發告警,經與原廠確認,原廠告知該設備對此一攻擊具有偵測能力,下列敘述何者「不」是未觸發告警原因?(A)IPS 未告警的原因可能是 patt
【題組】27.上述情境中,當資安人員進一步分析 AP ServerAccess Log,發現 AP Server 所紀錄的連線 Log 中,來源 IP 都只出現DMZ Web IP(113.101.1
【題組】28. (複選題) 上述情境中,此次駭客遠端攻擊最終有成功,駭客透過應用程式漏洞在 AP Server 上植入了常見已知的後門程式,但當下資安人員未能發現,如果要改善此連線架構的資安偵測,能
(題組題 3) 公司近期另一工業區的新廠房建築物將完工,準備開始進行系統佈建作業,擔任資訊室系統工程師的你必須在工程前先做好資訊與通訊系統的相關規劃作業;目前公司計劃將在新廠建置一條新的生產線,並將生
【題組】30. 上述情境中,新廠的網際網路接口端為了簡化設備管理,改採用 UTM(Unified Threat Management)整合式威脅管理設備,下列何者「不」是 UTM 設備的常見功能?(A
【題組】31. (複選題) 上述情境中,由於新廠並未規劃設置 MIS 人員,為了達到總廠資訊室人員可以進行設備遠端管理與維護作業,下列哪些維運功能是可考量規劃建置的功能?(A)新廠資通訊設備必須都設
【題組】32.上述情境中,為統一網路資安防護管理,新廠網路必須經由總廠才能上網,且新產線不能由工廠外部直接連接,並依作業需求將內網分為 2 個安全管理區域(Security Zone),LAN1 為生
(題組題 4) 組織 ABC 為金融監督管理委員會(金管會)管轄的關鍵基礎設施提供者,受到金管會核定為 A 級特定非公務機關,在一日的維運中,系統管理員 John 在操作核心線上系統時,發現電腦突然重
【題組】34. 上述情境中,本次事故屬《資通安全事件通報及應變辦法》中的第幾級資通安全事件?(A)一級(B) 二級(C) 三級(D)四級
【題組】35.上述情境中,依《資通安全事件通報及應變辦法》規定,應於發現後多久時間內通報金管會?(A)30 分鐘(B) 1 小時(C) 2 小時(D)4 小時