2. 關於弱點掃描，下列敘述何者錯誤？
(A) 網路弱點掃描用在尋找網路環境中的脆弱點，舉凡 開放的通訊埠及所代表之服務，其服務是否透過未 經加密的進行傳輸，或服務未更新漏洞
(B) 應用程式弱點掃描主要針對特定應用程式（尤其是 網頁伺服器及其資料庫）的程式及應用環境（例 如：Apache 版本漏洞），但主要是尋如 SQL 注入、 跨站腳本、敏感目錄外洩…等可被攻擊之漏洞
(C) 主機弱點掃描用在檢查個別主機的脆弱點，例如主 機效能負載對外服務能力，或是識別主機防毒系統 是否更新
(D) 常見工具，有 OWASP ZAP, OpenVAS, Nessus…等

(A) 網路弱點掃描用在尋找網路環境中的脆弱點，舉凡開放的通訊埠及所代表之服務，其服務是否透過未經加密的進行傳輸，或服務未更新漏洞

• 正確。網路弱點掃描主要目的是尋找網路層面的脆弱點，如開放的通訊埠、未加密的通訊等，是網路層弱點掃描的典型內容。

(B) 應用程式弱點掃描主要針對特定應用程式（尤其是網頁伺服器及其資料庫）的程式及應用環境（例如：Apache 版本漏洞），但主要是尋找如 SQL 注入、跨站腳本、敏感目錄外洩等可被攻擊之漏洞

• 正確。應用程式弱點掃描針對應用層的漏洞檢查，特別是在網頁伺服器和資料庫等環境中，常見檢查項目如 SQL 注入和跨站腳本等。

(C) 主機弱點掃描用在檢查個別主機的脆弱點，例如主機效能負載對外服務能力，或是識別主機防毒系統是否更新

• 錯誤。主機弱點掃描的重點是檢查系統層面的漏洞，如操作系統版本、已安裝的軟體補丁狀態、防毒軟體等，但不會專注於主機效能或負載能力，這屬於效能監控範疇，而非弱點掃描。

(D) 常見工具，有 OWASP ZAP, OpenVAS, Nessus…等

• 正確。OWASP ZAP 用於應用程式弱點掃描，OpenVAS 和 Nessus 也可用於網路和主機的弱點掃描，都是常見的掃描工具。