阿摩:人生一睜一閉,一天就過去了,人生只閉不睜,一輩子就過去了
56
(2 分22 秒)
模式:今日錯題測驗
科目:iPAS◆資訊安全技術概論◆初級
繼續測驗
再次測驗 下載 下載收錄
1(A).

2. 下列何者較常被採用來執行分散式阻斷服務(Distributed Denial-ofService, DDoS)攻擊?
(A) UDP 封包攻擊
(B) TCP 封包攻擊
(C) HTTP 封包攻擊
(D) SQL 封包攻擊


2(C).

10. 關於 IPSec,下列敘述何者較「不」正確?
(A) IPSec 是 IP Security 的縮寫,是運用在網路層的保護機制
(B) IPSec 提供資料加密、資料完整性、以及身份認證 (Authentication)
(C) IPSec 將整個封包(IP 標頭和資料本身)進行加密保護
(D) IPSec 重新封裝後的封包可以正確的在既有網路上傳送,不會因 為標頭被更改而受到影響 


3(C).

13. 小明利用 ssh 命令從主機 A 首次成功的連接至主機 B,請問下列何種 ssh 檔案將會被更新?
(A) 主機 B 上的~/.ssh/authorized_keys 檔案
(B) 主機 A 上的~/.ssh/authorized_keys 檔案
(C) 主機 A 上的~/.ssh/known_hosts 檔案
(D) 主機 B 上的~/.ssh/known_hosts 檔案


4(B).

19. 使用者瀏覽網頁時,執行攻擊者插入到網頁中 HTML 或 Script 的指 令,此狀況是遭受到下列何種攻擊?
(A) 資料隱碼攻擊(SQL Injection)
(B) 跨網站指令碼攻擊(Cross-Site Scripting, XSS)
(C) 跨網站請求偽照攻擊(Cross-Site Request Forgery, CSRF)
(D) 搜尋引擎攻擊(Google Hacking)


5(D).
X


20. 關於資料隱碼攻擊(SQL Injection),下列何者較「無」防禦效果?
(A) 使用參數化語句
(B) 強化對輸入值的驗證
(C) 使用單一登入(Single Sign-On)
(D) 使用安全的 API


6(C).

27. 在網站弱點檢測報告中,發現系統存在跨網站指令碼(Cross-Site Scripting, XSS)及開放式重定向(Open Redirect)攻擊問題,可以採 取下列何者方案進行修補?
(A) XSS 可以透過過濾此符號“<”,即可根治
(B) Open Redirect 可以採用圖像式驗證即可根治
(C) HTML.Encode 是可以解決 XSS 的一種方法
(D) XSS 可以採用 Prepared Statement 解決


7(A).

47. 關於行動裝置上運用代碼技術(Tokenization)行動支付方式的安 全,下列敘述何者正確?
(A) 駭客無法由代碼去推算使用者原本的卡號
(B) 以手機本身的 Secure Element 儲存 Tokenization 是不安全的
(C) 手機遺失時,儲存在手機的信用卡卡號仍會被取得
(D) 應越獄(Tethered Jailbreak)取得手機權限來管理較安全


8(B).
X


45. 關於雲服務安全,下列敘述何者最為正確?
(A) 資料先加密再儲存於雲服務中,可降低外洩之危害
(B) 雲服務安全為供應商(CSP)之責任,非與使用者相關
(C) 服務皆具備高可用特性與災難復原功能,服務遷 移其上即可有效避免中斷風險
(D) 多因子驗證機制(Multi-factor Authentication) 設置,可避免儲存於雲服務之資料受駭與外洩風險


9(C).

5. 有關 OWASP Top 10 的 A03:2021-Injection 漏洞之敘述,下 列何者錯誤?
(A) 將命令與查詢資料分開防止注入攻擊漏洞的發生
(B) 使用安全的應用程式界面(API)防止注入攻擊漏洞 的發生
(C) 應用程式相互驗證時容易發生
(D) 使用正向表列或白名單可有效避免此注入攻擊


10(D).
X


6. 當突然發現區域網路中,有大量的電腦連線並傳輸不明的資料時,請問最有可能是下列何種網路攻擊?
(A) 病毒
(B) 中間人攻擊
(C) 蠕蟲
(D) 鍵盤側錄


11(D).
X


20. 關於注入攻擊(Injection Attack)的敘述,下列何者錯誤?
(A) 為防止 SQL 注入攻擊,可以採用使用參數化查詢 (Parameterized Query)或預處理語句(Prepared Statement), 以將用戶輸入與 SQL 代碼進行隔離
(B) 攻擊者在客戶端和伺服器之間建立兩個獨立的加密通道,讓客戶端和伺服器誤以為他們在進行安全通信,但實際上攻擊者可以監控和篡改通信內容
(C) 此語法也是一種注入攻擊
(D) 此語法也是一種注入攻擊


12(B).

21. 關於 Web 攻擊手法的敘述,下列何者錯誤?
(A) SQL 注入攻擊:輸入特定的數據,將 SQL 指令插入 到應用程式的資料庫中,獲取敏感資訊或執行未授 權的操作,甚至破壞資料
(B) 跨網站腳本攻擊(XSS):通過在網頁中注入惡意腳 本,攻擊者僅可置換網頁內容,但無法對伺服器電 腦造成任何影響
(C) 跨站請求偽造攻擊(CSRF):利用受害者已經驗證過 的會話,攻擊者可以在受害者不知情的情況下,執 行某些操作,例如更改密碼
(D) 文件上傳漏洞:攻擊者可以通過在網站上上傳惡意 檔案,例如病毒、木馬、後門等,從而取得對受害 者系統的控制權


13(A).
X


24. 如附圖所示,攻擊者可竄改查詢參數並存取所有帳號資訊, 關於此應用程式缺陷的敘述,下列何者錯誤?

(A) 此為結構化查詢語言注入(Structured Query Language Injection)
(B) 使用安全 API 來查詢以降低解譯器錯誤之風險
(C) 跳脫(Escape)系統保留字元避免查詢語法遭竄改
(D) 參數檢查機制必須實做於用戶端且使用黑名單過濾



14(C).
X


26. 關於應用程式軟體與資料完整性的敘述,下列何者錯誤?
(A) 使用數位簽章(Digital Signature)來驗證軟體未被 竄改
(B) 僅於信任的儲存庫(Repository)取得應用程式套件
(C) 整合測試流程(CI/CD)應適當隔離與存取控制以確保安全
(D) 源碼掃描可有效檢查是否遭植入惡意程式碼(如: 後門程式)


15(B).

45. 使用雲端資料庫與應用程式十分方便,但若設定稍有不慎將 導致資料外洩或是服務遭到攻擊,下列何項是因設定不慎而 導致問題,同時也列為 OWASP TOP 10 2021 之一的漏洞?
(A) Cryptographic Failures
(B) Security Misconfiguration
(C) Vulnerable and Outdated Components
(D) Software and Data Integrity Failures


16(C).
X


46. 行動裝置資通安全應注意事項,下列敘述何者錯誤?
(A) 安裝來自可信任來源之軟體,確保軟體來自於官方 軟體商店(如 App Store、Google Play)
(B) 行動裝置 App 或 OS 應定期自動或手動安裝更新修 補程式
(C) 公司可利用行動裝置管理系統(Mobile Device Management, MDM)管理公司或單位內配發的行動 裝置
(D) 使用者在行動裝置上安裝軟體時,可以信任該 App 並授權 App 所要求之權限,例如:GPS 資訊、通訊錄、及啟用系統工具


快捷工具

今日錯題測驗-iPAS◆資訊安全技術概論◆初級-阿摩線上測驗

jimy0413剛剛做了阿摩測驗,考了56分