試題詳解

3.當企業遇到資安攻擊時，可以思考各種不同的方式來進行防禦，以便修補漏洞或暫時緩解。開發人員或資安維運人員必須選擇最合適的防禦機制來修補資安漏洞。下列何種防禦手法的「效果最差」，很容易被攻擊者用其他方式繞過？
(A)FilterInputandEscapeOutput，也就是過濾使用者輸入的特殊字元，並且在後端輸出內容時將特殊字元進行轉化，避免發生XSS攻擊
(B)實作上傳功能時，檢查上傳檔案的內容與路徑，也限制上傳檔案的副檔名，並且將檔案搬移至上傳檔案專屬目錄，甚至是上傳到靜態檔案專屬的伺服器，同時也將該目錄設定為不可執行檔案，避免有網頁程式碼在該目錄被執行
(C)撰寫資料庫查詢功能時，無論參數是不是使用者所輸入的，都必須針對參數內容進行過濾，移除所有非必要的特殊字元，並且對無法移除的特殊字元進行轉化。同時建議使用PreparedStatement來撰寫資料庫查詢功能會較為安全
(D)在一個需要串接系統指令的網頁應用程式中，開發人員在網頁程式前端使用JavaScript來過濾特殊字元，防止攻擊者在參數中注入特殊字元來執行系統指令並達成CommandInjection攻擊