阿摩線上測驗
32. 下列何者屬於網頁攻擊手法?(1)SQL Injection、(2)Parameterized
Query、(3)Cross-Site Request Forgery、(4)Cross-Site Scripting
(A) (1)(2)(3)
(B) (1)(3)(4)
(C) (2)(3)(4)
(D) (1)(2)(3)(4)
答案:登入後查看
統計: A(31), B(855), C(170), D(164), E(0) #3014866
統計: A(31), B(855), C(170), D(164), E(0) #3014866
詳解 (共 6 筆)
Wei
#6094976
SQL是網站用來與資料庫溝通並取得資料的一種程式語言,SQL injection則是駭客透過修改SQL語句改變語意,達到破壞或入侵的目的行為。避免方法可使用「參數化查詢 (Parameterized Query)」來設計資料存取功能。
5
0
肥李
#7375344
正確答案是 (1)、(3)、(4) 屬於網頁攻擊手法。
解析說明
這題考的是常見的網頁安全漏洞(攻擊手法)與防禦手段的區分:
-
(1)SQL Injection(SQL 注入攻擊):
-
性質:攻擊手法。
-
原理:攻擊者在網頁輸入框中惡意輸入 SQL 指令片段,如果後端程式沒有做好過濾,這些惡意指令就會被送到資料庫執行,導致資料庫外洩或被竄改。
-
-
(2)Parameterized Query(參數化查詢):
-
性質:防禦手段(安全的寫法)。
-
原理:這是一種程式設計的技術(如使用 Prepared Statements)。它將 SQL 指令的「架構」與使用者輸入的「資料」分開處理,讓資料庫只把輸入當成純字串,而不會當成指令執行。這是防範 SQL Injection 最有效的方法。
-
-
(3)Cross-Site Request Forgery(CSRF,跨網站請求偽造):
-
性質:攻擊手法。
-
原理:攻擊者利用受害者在瀏覽器中已登入的憑證(如 Cookie),誘騙受害者點擊惡意連結,在受害者不知情的情況下,以受害者的名義向信任網站發送惡意請求(例如:偷偷轉帳、修改密碼)。
-
-
(4)Cross-Site Scripting(XSS,跨網站指令碼攻擊):
-
性質:攻擊手法。
-
原理:攻擊者將惡意的網頁腳本(通常是 JavaScript)植入到正常的網頁中。當其他不知情的瀏覽器載入這個網頁時,該惡意腳本就會在用戶的瀏覽器上執行,藉此竊取 Cookie、Session Token 或進行網頁惡意導向。
-
總結
| 項目 | 名稱 | 分類 |
| (1) | SQL Injection | ❌ 攻擊手法(OWASP Top 10 常客) |
| (2) | Parameterized Query | 防禦手段(保護資料庫安全) |
| (3) | Cross-Site Request Forgery (CSRF) | ❌ 攻擊手法(偽造用戶請求) |
| (4) | Cross-Site Scripting (XSS) | ❌ 攻擊手法(瀏覽器端惡意腳本) |
0
0