阿摩線上測驗
27. 題組背景描述如附圖。若您於事件結束後,轉換工作擔任某系統整合
商(System Integration, SI)資安工程師,近期公司承接政府一級單位
某資訊系統建置案,政府一級單位皆通過 ISO/IEC27001 認證,並在需
求建議書(Request for Proposal, RFP)文件中要求:(1)在系統上線前與
保固期間該專案軟體必須每季通過 OWASP Top 10 安全檢測、(2)相關
程式源碼必須通過白箱檢測、(3)系統上線前應修補與提出對應防護機
制,來完成硬體、作業系統、Web Service(如:IIS7, Tomcat, WebLogic)
漏洞、(4)上線後還需經過第三方滲透測試。若您要進行安全技術作業
來滿足上述軟體開發安全架構、服務環境安全架構需求,下列敘述何
者「不」正確?
(A) 建議該單位通過 OWASP Top 10 安全檢測,通常可採用安全測試
工具,如:Acunetix、WebInspect
(B) 可採用白箱檢測(white-box testing),又稱源碼分析(Source Code
Analysis)工具,可以分析已經 Compile 後的執行檔程式,如:
Fortify、IDA Pro
(C) 在 Web 服務的防護對策,建議該單位採購網站應用程式防火牆
(Web Application Firewall, WAF)來進行過濾攔阻攻擊行為,而
WAF 有軟體式與硬體式規格
(D) 在滲透檢測(Penetrant Testing, PT)作業上,因為已經是上線對外
服務的系統,在滲透攻入成功後,應嚴守不破壞該資訊系統程式
與資料
答案:登入後查看
統計: A(40), B(358), C(86), D(73), E(0) #2797708
統計: A(40), B(358), C(86), D(73), E(0) #2797708
詳解 (共 3 筆)
ss1111119
#6619775
(A) OWASP Top 10 安全檢測 → 可用自動化掃描工具 (Acunetix、WebInspect) ✅
-
正確,這些工具就是常見的 Web 弱點掃描工具。
(B) 白箱檢測 (Source Code Analysis) → 可以分析已經 Compile 後的執行檔程式,如 Fortify、IDA Pro ❌
-
錯誤點:
-
白箱檢測 = 程式源碼分析 (Static Code Analysis, SAST),需要 讀取源碼。
-
但題目卻說「可以分析已經編譯後的執行檔」→ 這其實是 黑箱/逆向工程 (Reverse Engineering) 的範疇,常用工具才會是 IDA Pro。
-
Fortify 是正確的例子(做 source code scanning),但 IDA Pro 是錯放的。
-
(C) Web 服務防護 → 建議採購 WAF(有軟硬體規格) ✅
-
正確,WAF 是對抗 Web 攻擊(SQLi、XSS)的標準措施。
(D) 滲透測試 → 因是上線系統,所以滲透成功後應避免破壞程式與資料 ✅
-
正確,PT 作業強調「模擬攻擊」但必須 避免造成業務中斷或資料破壞。
0
0
