18. 使用帳號及密碼進行身分認證，是時下網路上最常用的方法，破解密碼就可以有效攻擊身分認證，下列何項不是針對破解密碼的攻擊？
(A) 窮舉攻擊（Brute-Force Attack）
(B) 字典攻擊（Dictionary Attack）
(C) 跨網站指令碼攻擊（Cross-Site Scripting）
(D) 網路釣魚網站（Phishing）

在網路安全中，「破解密碼」通常指的是透過計算方法（如嘗試各種組合或利用預計算的雜湊值）來找出密碼。讓我們分析每個選項：

• (A) 窮舉攻擊（Brute-Force Attack）： 這是一種直接的密碼破解方法，攻擊者會嘗試所有可能的密碼組合，直到找到正確的密碼。這屬於針對破解密碼的攻擊。

• (B) 字典攻擊（Dictionary Attack）： 這也是一種直接的密碼破解方法，攻擊者會使用預先準備好的常用詞彙、短語、姓名或洩露的密碼列表來嘗試登入。這也屬於針對破解密碼的攻擊。

• (C) 跨網站指令碼攻擊（Cross-Site Scripting, XSS）： XSS 是一種網頁應用程式的安全漏洞。它允許攻擊者將惡意腳本注入到受信任的網站中，當其他使用者瀏覽該網站時，惡意腳本會在他們的瀏覽器中執行。XSS 的目的通常是竊取使用者的會話 Cookie、劫持會話、執行惡意操作或竊取個人資訊（例如透過鍵盤記錄或偽造表單）。雖然 XSS 可能被用作竊取憑證（包括密碼）的手段，但 XSS 本身的核心攻擊方式是腳本注入，而不是直接「破解」密碼（即通過計算或猜測密碼本身）。

• (D) 網路釣魚網站（Phishing）： 這是一種社會工程學攻擊，攻擊者偽裝成合法實體（如銀行、知名網站）來欺騙使用者，誘使他們在假冒的網站上輸入個人敏感資訊，包括帳號和密碼。這種攻擊的目的是直接從使用者那裡「騙取」密碼，而不是透過計算方式「破解」密碼。

綜合來看，窮舉攻擊和字典攻擊是典型的「破解密碼」行為。網路釣魚是「騙取密碼」。而跨網站指令碼攻擊的本質是「腳本注入」，它雖然可以導致密碼被竊取，但其攻擊行為本身並不直接針對密碼的破解。因此，跨網站指令碼攻擊是最不屬於「針對破解密碼的攻擊」的行為。

The final answer is C​