38. 【題組 5 背景描述如附圖】若懷疑應用程式伺服器存在弱點，關於弱點評估，下列敘述何者「不」正確？
(A) 可透過 CVE 網站，查詢已公開或未公開的弱點資訊
(B) 可透過網站伺服器之存取紀錄分析，判斷是否遭受攻擊
(C) 可透過 NVD（National Vulnerability Database）資料庫之商業服務，進行弱點掃描偵測
(D) 可透過 Exploit-DB 資料庫搜尋，可能相關之攻擊代碼

(A) 可透過CVE網站查詢弱點資訊 - 這是正確的。CVE(Common Vulnerabilities and Exposures)是一個公開的漏洞數據庫,可以用來查詢已知的安全漏洞。

(B) 分析網站伺服器的存取紀錄 - 這也是正確的。通過分析訪問日誌,可以發現異常的訪問模式或可疑的請求,這可能表明存在攻擊行為。

(C) 使用NVD資料庫的商業服務進行弱點掃描 - 這個說法不太準確。NVD(National Vulnerability Database)是一個免費的公共資源,由美國國家標準與技術研究院(NIST)維護。它不提供商業掃描服務,而是一個可以免費查詢的漏洞數據庫。

(D) 使用Exploit-DB搜尋相關攻擊代碼 - 這是正確的。Exploit-DB是一個公開的漏洞利用和shellcode數據庫,可以用來搜索已知漏洞的攻擊代碼。

根據題目要求選擇「不」正確的敘述,答案應該是:

(C) 可透過NVD（National Vulnerability Database）資料庫之商業服務，進行弱點掃描偵測

這個選項錯誤地將NVD描述為商業服務,實際上它是一個免費的公共資源