38. 針對 SQL 注入測試，下列哪一個觀念最「不」適切？ (A) ' OR '1'='1' -- 是非常萬用的語法，通常可以有效測出 SQL Injection 存在與否，對測試標的影響程度低，無論是在資料庫的新增、刪除、修改都可以直接使用 (B) '; DROP TABLE Products;# 這種語法會導致刪除整張資料表，通常不會在實戰過程中使用這種語法 (C) '; IF (1=1) WAITFOR DELAY '0:0:10'-- 這種語法會導致伺服器延遲 10 秒再回應，有可能會讓使用者感受到效能異常，必須謹慎使用 (D) 在特定情境下，施測人員可以透過 INTO OUTFILE 這種功能寫入後門到資料庫伺服器中，並且透過該後門達成 Remote Code Execution

9. 針對目前時下常見的資安技術與產品中，下列何項描述較「不」正確？ (A) Breach and Attack Simulation(BAS)主要是用高頻率且大量的攻擊方式來檢驗企業當下的防禦機制是否有效 (B) External Attack Surface Management(EASM)主要是用來查核企業暴露於網路上的數位資產有哪些，例如對外開放的 port、企業持有的網域名稱、企業外洩的帳號密碼等等 (C) Security Information and Event Management(SIEM)僅用來蒐集外部常見的攻擊情資，例如其他國家或企業的攻擊事件，或是暗網上的攻擊行動預告文章，以便發現潛在的資安威脅，然後再來檢視企業是否即將面臨類似的攻擊 (D) Endpoint Detection and Response(EDR)主要是透過分析端點的日誌和行為，來發現甚至阻斷攻擊者的行動

相關試題

相關試卷