初級資訊安全工程師資訊安全技術概論錯題本【112年度第2次技術概論】

JavaScript isn't enabled in your browser, so this file can't be opened. Enable and reload.

5.有關OWASPTop10的A03:2021-Injection漏洞之敘述，下列何者錯誤？

2 points

(A)將命令與查詢資料分開防止注入攻擊漏洞的發生

(B)使用安全的應用程式界面（API）防止注入攻擊漏洞的發生

(C)應用程式相互驗證時容易發生

(D)使用正向表列或白名單可有效避免此注入攻擊

Clear selection

16.有關作業系統資源配置發生死結（deadlock）之敘述，下列何者錯誤？

2 points

(A)當一系列程序相互持有其他程序所需要的資源時是發生死結（deadlock）的可能因素之一

(B)系統資源可被強制從一個程序中退出是發生死結（deadlock）的可能因素之一

(C)某個程序可以在等待同時持有系統資源是發生死結(deadlock）的可能因素之一

(D)資源只能同時分配給一個程序，無法多個程序共享是發生死結（Dead lock）的可能因素之一

Clear selection

24.如附圖所示，攻擊者可竄改查詢參數並存取所有帳號資訊，關於此應用程式缺陷的敘述，下列何者錯誤？

https://vulnerable.site/app/account?id=’ or ‘1’=’1

2 points

(A)此為結構化查詢語言注入（Structured Query Language Injection）

(B)使用安全API來查詢以降低解譯器錯誤之風險

(C)跳脫（Escape）系統保留字元避免查詢語法遭竄改

(D)參數檢查機制必須實做於用戶端且使用黑名單過濾

Clear selection

25.網站應用程式伺服器允許顯示錯誤訊息給使用者，如：Stacktraces，將可能導致機敏資訊外洩或底層元件的弱點被發現關於此應用程式缺陷的描述，下列何者較正確？

2 points

(A) 跨站請求偽造 (Cross-Site Request Forgery)

(B) 安全設定錯誤（Security Misconfiguration）

(D) 伺服器端請求偽造（Server-Side Request Forgery）

Clear selection

26. 關於應用程式軟體與資料完整性的敘述，下列何者錯誤？

2 points

(A) 使用數位簽章（ Digital Signature）來驗證軟體未被竄改

(B) 僅於信任的儲存庫（ Repository）取得應用程式套件

(D) 源碼掃描可有效檢查是否遭植入惡意程式碼（如：後門程式）

Clear selection

28.從Microsoft安全性開發週期（Secure Development Life,SDL）的觀點，靜態程式分析(StaticAnalysis）主要是下列何項階段的考量？

2 points

(A)需求階段（Requirements）

(B)設計階段（Design）

(C)實作階段（Implementation）

(D)分析階段（Analysis）

Clear selection

32. 通用漏洞評分系統（ Common Vulnerability Scoring System, CVSS）定義了數個指標組用來評定電腦系統安全的嚴重性及風險程度，請問有關 CVSS 3.1評分指標組之敘述，下列何者正確？

2 points

(A) 強制的基本指標組、強制的時間指標組以及可選擇的環境指標組

(B) 強制的基本指標組、強制的環境指標組以及可選擇的時間指標組

(D) 強制的基本指標組、可選擇的環境指標組以及可選擇的時間指標組

Clear selection

33. 企業為了檢查自己是否會被已知的弱點攻擊，通常會定期安排弱點掃描，以便檢查是否有應用程式或作業系統的漏洞出現在企業的環境中。下列何項「不」是常見的弱點掃描工具？

2 points

(A) OSV-Scanner

(B) Nessus

(D) Masscan

Clear selection

42. 如附圖所示，關於此筆 Apache記錄的敘述，下列何者錯誤？

218.19.140.242

--[10/Dec/2010:09:31:17 +0800]

"GET /query/trendxml/district/todayreturn/month/2009-12-14/2010-12-09/haizhu_tianhe.xmlHTTP/1.1"2001933

"Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN;rv:1.9.2.8)Gecko/20100722Firefox/3.6.8 (.NET CLR 3.5.30729)"

註:為方便閱讀，將記錄分段呈現

2 points

(A) 218.19.140.242這是一個 apache伺服器的 local端 IP

(B) [10/Dec/2010:09:31:17 +0800]格式為[day/month/year:hour:minute:second zone]，最後的 +0800表示伺服器所處的時區

(D) "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8 (.NET CLR 3.5.30729)" 這項主要記錄客戶端的瀏覽器資訊

Clear selection

49. 開放網路軟體安全計畫（ Open Web Application Security Project, OWASP）組織針對物聯網裝置安全問題進行統計，歸納出物聯網常見的十項安全性問題（OWASP IoT TOP 10）。請問下列何項是附圖中物聯網常見的十項安全性問題的前三名（不分順序）？

1.Weak, Guessable, or Hardcoded Passwords(弱密碼、可猜測密碼或裝置預設密碼)

2.Insecure Default Settings(不安全的預設設定)

3.Insecure Ecosystem Interfaces(不安全的環境設定介面)

4.Lack of Secure Update Mechanism(缺乏安全的更新機制)

5.Insecure Data Transfer and Storage(不安全的資料傳輸和儲存)

6.Insecure Network Services(不安全的網路服務)

2 points

(A) 1、 3、 5

(B) 2、 4、 6

(D) 1、 2、 3

Clear selection

Submit

Clear form

This content is neither created nor endorsed by Google. Report Abuse - Terms of Service - Privacy Policy

Forms