29. 關於網路安全滲透測試的敘述，下列何者錯誤？
(A) 網路安全滲透測試是找出駭客實現攻擊目的的所有途 徑，而駭客入侵只是要實現某一特地目的
(B) 逆向工程是網路安全滲透測試的一部分，目的是發掘 系統的漏洞
(C) 網路安全滲透測試就是一般普遍認知的漏洞掃描
(D) 網路安全滲透測試方法可以分成黑盒測試、灰盒測 試、白盒測試等三種

網路安全滲透測試（Penetration Testing）與漏洞掃描（Vulnerability Scanning）是兩種不同的安全測試方法。

• 漏洞掃描 是自動化工具用來檢測系統中已知漏洞的過程。它的目的是快速識別潛在的安全漏洞，但不會進行深入的攻擊模擬。

• 滲透測試 則是由安全專業人員手動進行的一種模擬攻擊測試，目的是找出系統中的實際安全漏洞，並評估這些漏洞是否能被惡意攻擊者利用。滲透測試不僅僅是檢測漏洞，還包括嘗試利用這些漏洞來評估其實際風險和影響。

因此，選項 (C) 的描述是錯誤的。滲透測試並不等同於漏洞掃描，後者只是滲透測試過程中的一部分或一個前期步驟。

正確答案為 (C)。

解析說明：

• (A) 描述了滲透測試的目標是找出所有可能的攻擊途徑，而實際的駭客入侵可能只針對一個特定目的。這說明了滲透測試的全面性，與駭客攻擊的針對性，敘述正確。

• (B) 提到逆向工程作為滲透測試的一部分，用以發掘系統漏洞。事實上，在某些滲透測試中，逆向工程確實是分析軟體、協定或系統行為的重要手段，因此此項描述正確。

• (C) 說明「網路安全滲透測試就是一般普遍認知的漏洞掃描」，這是不正確的。漏洞掃描僅屬於滲透測試中的一個步驟，滲透測試還包含利用漏洞、橫向移動、權限提升等一系列模擬駭客攻擊的技術與手法，不僅僅是漏洞掃描。

• (D) 說明滲透測試方法可分為黑盒、灰盒及白盒測試，這是業界常見的分類，描述正確。

因此，只有 (C) 的敘述錯誤。

(C) 網絡安全滲透測試就是一般普遍認知的漏洞掃描

這個選項是錯誤的。網絡安全滲透測試與一般普遍認知的漏洞掃描並不相同。漏洞掃描是使用自動化工具對系統、網絡或應用程序進行掃描，找出已知的漏洞。但漏洞掃描僅僅揭示了潛在的弱點，並不一定代表這些弱點會被實際利用。

而網絡安全滲透測試則是一種更深入、更全面的測試方法，模擬攻擊者對系統、網絡或應用程序進行攻擊，以確認漏洞的可利用性和影響程度。滲透測試通常涉及手工和自動化技術的結合，並且可能使用不同的攻擊技術和策略，目的是模擬真實世界中的攻擊，以確定組織的防禦能力和安全風險。

因此，網絡安全滲透測試不僅僅是漏洞掃描，而是一種更全面的攻擊模擬和安全評估方法。