試題詳解

40.在上述的情境當中，滲透測試人員發現可以透過修改HTTPPOST參數得到可網站較高的管理權限，而在測試弱點影響主機安全的深度時，在測試過程中，利用LFI(LocalFileInclusion)的弱點讀取到網站應用程式的組態檔，進而發現了該主機的mysql並未針對來源IP進行限縮，你身為滲透測試人員在測試報告中下列那一些建議事項，對受測單位而言，在不損及服務可用性的前提下，下列哪些答案符合以最少的金錢、管理、技術對弱點進行有效的管理？(複選)

(A)限縮僅有我國IP能連接到這個服務網站
(B)限制能連接到MySQL的來源IP
(C)導入MFA(Multi-factorauthentication)身份識別的解決方案
(D)導入網頁應用程式防火牆