資安危機與趨勢(113) 解答
以下為「資安危機與趨勢(113)」e等公務園+測驗解答,共 20 題,供公務人員學習參考。
如何預防SQL注入(SQL Injection)攻擊?
- 使用強大的防火牆
- 加密敏感數據
- 定期更換密碼
- 使用參數化查詢或預處理語句
SQL注入(SQL injection)攻擊可以達成下列何種目標?
- 重新啟動網站
- 繞過網站的登入帳號密碼檢查
- 覆蓋網頁的程式碼
- 修改網站的IP位址
以資安的角度而言,軟體更新的主要目的為何?
- 改變軟體的使用方式
- 修復軟體中的漏洞和錯誤
- 提高軟體的價值
- 增加軟體的功能
以下哪項不是密碼管理的最佳實踐之一?
- 使用長度足夠的密碼
- 定期更換密碼
- 在多個帳戶間共享相同密碼
- 啟用多因子認證
如何防止緩衝區溢位(buffer overflow)攻擊?
- 使用複雜的密碼
- 增加硬體資源
- 嚴格驗證輸入並確保不超出緩衝區大小
- 使用低階語言進行開發
緩衝區溢位(buffer overflow)的主要成因為下列何者?
- 使用者輸入的資料內容沒有檢查或過濾
- 使用者輸入的資料長度沒有檢查或限制
- 使用者輸入的資料不符合正規表示式(regular expression)的要求
- 使用者輸入的資料沒有以空字元結尾
資安三角CIA Triad的C是指?
- Cybersecurity
- Confidentiality
- Cryptography
- Compliance
弱點管理的主要目的為何?
- 降低系統風險
- 防止所有攻擊
- 修補所有漏洞
- 提高網路效率
資安三角CIA Triad的I是指?
- Integrity
- Identification
- Investigation
- Incident
關於SSRF (server-side request forgery)的描述,下列何者正確?
- 攻擊者透過竊取他人的認證資訊登入伺服器
- 攻擊者偽造要求,透過伺服器對其他服務進行連線存取
- 攻擊者偽造伺服器的界面,誘騙其他使用者提供資料
- 攻擊者偽造請求,繞過伺服器的登入驗證機制
關於「撞庫攻擊」的成因,下列何者正確?
- 使用者挑選常見單字做為密碼
- 使用者設定長度不足的密碼
- 使用者在不同網站或服務使用相同的密碼
- 使用者的帳號和密碼相同或相近
關於弱點管理的描述,下列何者正確?
- 是一個持續循環的工作過程
- 是一個一次性的工作流程
- 是一個事件驅動的工作流程
- 是一個被動式的工作流程
下列何者為可能的軟體系統弱點成因?
- 開發缺失
- 設計缺失
- 設定誤用
- 軟體價格
下列關於保護密碼的方式,何者不恰當?
- 避免和其他人共用密碼
- 不透過email或通訊軟體傳送密碼
- 使用密碼管器管理密碼
- 將密碼寫在便條紙上
如果要確認韌體更新的內容無誤,應採取下列何種方式?
- 驗證檔案名稱與官方網頁上提供的資訊相符
- 驗證檔案類型與官方網頁上提供的資訊相符
- 驗證檔案內容的雜湊值與官方網頁上提供的資訊相符
- 驗證檔案大小與官方網頁上提供的資訊相符
注入(injection)攻擊的主要成因為下列何者?
- 使用者輸入的資料內容沒有檢查或過濾
- 使用者輸入的資料長度沒有檢查或限制
- 使用者輸入的資料不符合正規表示式(regular expression)的要求
- 使用者輸入的資料沒有以空字元結尾
關於雜湊函數的描述,下列何者正確?
- 雜湊函數的結果可以還原回原始的輸入資料
- 雜湊函數可以驗證資料是由特定人士產出,提供不可否認性的驗證
- 雜湊函數可以驗證資料是否經過竄改,提供完整性的驗證
- SHA1雜湊函數的可依據輸入資料產出不同長度的輸出
下列何種情況可能導致安全設置錯誤?
- 使用強密碼
- 定期更新軟體
- 將機敏資料加密
- 使用預設的設定
資安三角CIA Triad的A是指?
- Accounting
- Authentication
- Authorization
- Availability
關於OWASP的描述,下列何者正確?
- 是一個提升軟體安全的非營利組織/社群
- 是一個開源的程式語言
- 是一家軟體公司
- 是一個網路協定