題庫堂
檢索
題庫堂
首頁
數學
英文學習
政治學
統計學
經濟學
藥理學
中醫藥物學
財政學
法學知識
公共行政
警察學
BI規劃師
財務管理
公共衛生學
工程經濟學
電力電子學
當前位置:
首頁
4. 在網站弱點檢測報告中,發現系統存在路徑竄改( Path Manipulation )問題時,可以採取下列何種方案進行修補?(A) 可以使用白名單路徑跟黑名單危險字串(B) 可以採用圖像式驗證即可
問題詳情
4. 在網站弱點檢測報告中,發現系統存在路徑竄改( Path Manipulation )問題時,可以採取下列何種方案進行修補?
(A) 可以使用白名單路徑跟黑名單危險字串
(B) 可以採用圖像式驗證即可根治
(C) HTML.Encode
(D) Prepared Statement
參考答案
答案:A
難度:
困難
0.333333
書單:
沒有書單,新增
上一篇 :
3. 要達成「資安聯防」目標,下列何者機制較為重要?(A) 資安情資分享(B) 公開金鑰基礎建設(C) 分散式滲透測試(D) 開放原始碼
下一篇 :
5. 美國國家安全局 NSA 的永恆之藍( EternalBlue )漏洞利用程式及WannaCry 勒索病毒之攻擊手法,至今仍有攻擊事件,其主要是利用下列何者?(A) Windows SMB 漏洞(
資訊推薦
6. Heartbleed( CVE-2014-0160 )漏洞主要是攻擊有問題的 SSL 機制,嘗試取得未加密的記憶體訊息,請問當發生此漏洞時,攻擊者一次可從記憶體中讀取多大的資料?(A) 64K(
7. 關於跨站請求偽造( Cross-Site Request Forgery, CSRF 或 XSRF )的防禦方式,下列何者「不」適用?(A) 檢查請求(Request)的來源位址(驗證 HTTP
8. 關於集線器( Hub ),下列敘述何者「不」正確?(A) 為開放式系統互聯模型( Open System Interconnection Model, OSI )中,實體層( Physical
9. 某駭客成功滲透進入公司的內部網路,藉由控制一台電腦發動生成樹協定( Spanning Tree Protocol, STP )控制攻擊,請問駭客接下來最有可能執行下列何項動作?(A) 在受欺騙的
10. 當資安外洩事件發生後,若須確保證據的完整性,應對已被入侵的硬碟做下列何項處理?(A) 將原硬碟加密並進行鑑識工作後,再進行雜湊比對(B) 將原硬碟進行雜湊比對、位元層級複製,並對複製後的新硬碟
11. 關於優良保密協定( Pretty Good Privacy, PGP ),下列敘述何者「不」正確?(A) 使用 IDEA 的演算法作為加密驗證之用(B) 支援訊息的身份認證和完整性檢查(C)
12. 物聯網是當前應用發展最快速的科技之一,為確保國內相關產品的資訊安全,經濟部工業局規劃從:實體安全、系統安全、通訊安全、身分鑑別與授權機制安全、及隱私保護等五個安全構面,參照國際物聯網相關資安標
13. 關於網站應用程式中之注入攻擊( Injection ),下列敘述何者「不」正確?(A) 此攻擊是因為網站應用程式未對輸入資料進行驗證( validated )、過濾( filtered )或清
14. 關於滲透測試( Penetration Test, PT ),下列敘述何者「不」正確?(A) 模擬駭客攻擊並評估網路、資訊系統安全性之活動,於產出報告中詳述弱點如何利用與影響,並給予修復建議(
15. 系統管理人員於網站日誌中看見大量訊息含有類似字串「 」,可能為下列何種攻擊?(A) SQL 資料隱碼攻擊( SQL Injection Attack )(B) 阻斷服務攻擊( Denial o
16. 企業發生勒索軟體感染事件後,在下列哪些安全維運的記錄中可以找到線索進行判斷事件規模?(複選)(A) SIEM(B) OS Application Event Log(C) AntiVirus
17. 關於源碼檢測與滲透測試,下列敘述何者正確?(複選)(A) 滲透測試的使用時機通常會在程式開發過程中分次執行,而源碼檢測常會在系統開發完成後才使用(B) SQL Injection 的問題,不論
18. 關於網站應用程式中之跨網站指令碼攻擊( Cross-Site Scripting,XSS ),下列敘述何者正確?(複選)(A) 跨網站指令碼攻擊分為反射式( Reflected )、儲存式(
19. 關於入侵偵測系統( Intrusion Detection System )與入侵防護系統( Intrusion Prevention System )之應用,下列敘述何者正確?(複選)(A)
20. 關於網站應用程式之安全性監控,下列敘述何者「不」正確?(複選)(A) 使用者登錄、存取控制與輸入驗證之錯誤資訊,均需詳細記錄至日誌中,以利分析與識別可能之攻擊(B) 網站應用程式日誌應即時產生
題組:某公司為軟體系統開發商,主要業務為協助客戶進行客製化軟體系統之開發,若您為公司資安官,負責公司所有資訊安全之防護與管理事宜,公司近期剛通過第三方之 ISO/IEC 27001 驗證,範圍包含:系
【題組】22. 題組背景描述如附圖。某日同仁通報公司檔案伺服器內之文件檔案均因不明原因被加密,所有儲存於檔案伺服器之檔案均無法開啟,導致該業務中斷服務,請問此為下列何種攻擊手法?(A) 社交工程攻擊(
【題組】23. 題組背景描述如附圖。為了機房能夠正常提供納管設備之運作,避免某些因素而導致機房中斷服務,下列何種控制措施較為正確?(A) 機房增加不斷電系統(B) 各伺服器均定期更新病毒碼(C) 網路
【題組】24. 題組背景描述如附圖。公司為客戶開發的軟體系統,於交付客戶前,為確保其安全性,應先執行下列哪些工作?(複選)(A) 弱點掃描(B) 原始碼檢測(C) 滲透測試(D) 使用者體驗檢測
題組:一位資安專家正在對內部網站進行連接埠掃描,使用工具為 Nmap,伺服器 IP 為 10.0.1.1,掃描後看到的結果如下:根據上列資訊,請回答下列問題:【題組】25. 題組背景描述如附圖。上述掃
【題組】26. 題組背景描述如附圖。若要提升 vsftpd 傳輸的安全性,應該使用下列何種方式最安全?(A) vsftpd over SSH(B) vsftpd over SSL / TLS,SSL
【題組】27. 題組背景描述如附圖。若要在應用式防火牆( Application Firewall )開啟 FTP 服務提供 Internet 存取,下列何種開啟方式最佳?(A) 防火牆設定允許連入的
【題組】28. 題組背景描述如附圖。若要提升 POP3 服務的安全性,應使用下列何種協定及連接埠?(A) POP3s, 443(B) POP3s, 1443(C) POP3s, 995(D) POP3
題組:免費憑證組織 Let's Encrypt,於 2019 年 2 月 27 日,宣佈該組織所頒發的免費憑證數量,已正式突破 10 億大關,該組織發佈免費憑證的目的是為了協助網站業者啟用
【題組】30. 題組背景描述如附圖。關於 Let's Encrypt 及其機制,下列敘述何者「不」正確?(A) Let's Encrypt 是一家全球性的憑證頒發機構( Certi