試題詳解

複選題
18.情境如附圖所示。承上題，S 公司當年委外開發本 營運系統時並未有任何軟體安全之要求，當前參閱考 OWASP top10 和 OWASP Mobile Security 評估現階的軟體安全防護規劃，請問下列哪些措施較為適合迅速補強軟體弱 點？
(A) 駭客的攻擊手法一直不停的在更新、進步、改變， 增設網站傳輸監控設備或機制，經由監控傳輸流 量，對比病毒、惡意程式資料庫來過濾出可疑的流量，管理系統交易流量、加強防護機制，以提升系統防護能力
(B) 定期安排網站弱點掃描，針對本營運系統潛的在弱點進行 Patch 更新，以及增修網路安全政策 （Security Policies），降低加密失效（Cryptographic Failures）和權限控制（Broken Access Control）的風險，提升系統與連線的安全性
(C) 重新編寫軟體以符合新世代的軟體安全要求，徹底解 決不安全設計(Insecure Design）、安全設定(Security Misconfiguration）與使用過時或危機元件(Vulnerable and Outdated Components）的根本問題
(D) 在總部增設網站應用程式防火牆（Website Application Firewall），增加注入式攻擊（Injection） 的防禦能力，保護 Web 應用程式和交易資訊安全