問題詳情
7. 關於跨站請求偽造( Cross-Site Request Forgery, CSRF 或 XSRF )的防禦方式,下列何者「不」適用?
(A) 檢查請求(Request)的來源位址(驗證 HTTP Referer )
(B) 在 Server Site 產生 token,存在 Server 的 session 中
(C) 使用圖型驗證碼
(D) Prepared Statement
(A) 檢查請求(Request)的來源位址(驗證 HTTP Referer )
(B) 在 Server Site 產生 token,存在 Server 的 session 中
(C) 使用圖型驗證碼
(D) Prepared Statement
參考答案
答案:D
難度:非常簡單1
書單:沒有書單,新增
內容推薦
- 美國國家安全局 NSA 的永恆之藍( EternalBlue )漏洞利用程式及WannaCry 勒索病毒之攻擊手法,至今仍有攻擊事件,其主要是利用下列何者?(A) Windows SMB 漏洞(
- 在網站弱點檢測報告中,發現系統存在路徑竄改( Path Manipulation )問題時,可以採取下列何種方案進行修補?(A) 可以使用白名單路徑跟黑名單危險字串(B) 可以採用圖像式驗證即可
- 要達成「資安聯防」目標,下列何者機制較為重要?(A) 資安情資分享(B) 公開金鑰基礎建設(C) 分散式滲透測試(D) 開放原始碼
- 關於容錯式磁碟陣列( RAID, Redundant Array of Independent Disks )當中的 RAID 5,下列敘述何者「不」正確?(A) 最大容錯 1 顆硬碟異常(B)
- 下列敘述何者是外心?(A) 三角形三高交點(B) 三角形三內角角平分線交點(C) 三角形三中線交點(D) 三角形三邊中垂線交點
- 解 4x=5x , 試問 x=?(A)-1 (B) 任意數 (C) 0 (D) 無解
- 已知 a 為偶數,b 為奇數,請問下列敘述何者錯誤?(A) (a+b) (a-b) 必為奇數。 (B) a2+b 2必為偶數。(C)3a+2b 必為偶數。 (D) (a+b) 2必為奇數。
- △ABC中,若D、E兩點分別在 上, ,則下列何者正確?(A) (B) (C) (D)
- 若多項式 A 除以 3x+1 得商式為 2x-4,餘式為 5,則 A=?(A) 6x2-10x-4 (B) 6x2-10x-9(C) 6x2-10x+1 (D) 6x2+10x+1
- 多項式(x-2)2+(x+2)2-(x-2)(x+2)的一次項係數為何?(A) 0 (B) 1 (C) 3 (D) 12
內容推薦
- 某駭客成功滲透進入公司的內部網路,藉由控制一台電腦發動生成樹協定( Spanning Tree Protocol, STP )控制攻擊,請問駭客接下來最有可能執行下列何項動作?(A) 在受欺騙的
- 當資安外洩事件發生後,若須確保證據的完整性,應對已被入侵的硬碟做下列何項處理?(A) 將原硬碟加密並進行鑑識工作後,再進行雜湊比對(B) 將原硬碟進行雜湊比對、位元層級複製,並對複製後的新硬碟
- 關於優良保密協定( Pretty Good Privacy, PGP ),下列敘述何者「不」正確?(A) 使用 IDEA 的演算法作為加密驗證之用(B) 支援訊息的身份認證和完整性檢查(C)
- 物聯網是當前應用發展最快速的科技之一,為確保國內相關產品的資訊安全,經濟部工業局規劃從:實體安全、系統安全、通訊安全、身分鑑別與授權機制安全、及隱私保護等五個安全構面,參照國際物聯網相關資安標
- 關於網站應用程式中之注入攻擊( Injection ),下列敘述何者「不」正確?(A) 此攻擊是因為網站應用程式未對輸入資料進行驗證( validated )、過濾( filtered )或清
- 關於滲透測試( Penetration Test, PT ),下列敘述何者「不」正確?(A) 模擬駭客攻擊並評估網路、資訊系統安全性之活動,於產出報告中詳述弱點如何利用與影響,並給予修復建議(
- 系統管理人員於網站日誌中看見大量訊息含有類似字串「 」,可能為下列何種攻擊?(A) SQL 資料隱碼攻擊( SQL Injection Attack )(B) 阻斷服務攻擊( Denial o
- 企業發生勒索軟體感染事件後,在下列哪些安全維運的記錄中可以找到線索進行判斷事件規模?(複選)(A) SIEM(B) OS Application Event Log(C) AntiVirus
- 關於源碼檢測與滲透測試,下列敘述何者正確?(複選)(A) 滲透測試的使用時機通常會在程式開發過程中分次執行,而源碼檢測常會在系統開發完成後才使用(B) SQL Injection 的問題,不論
- 關於網站應用程式中之跨網站指令碼攻擊( Cross-Site Scripting,XSS ),下列敘述何者正確?(複選)(A) 跨網站指令碼攻擊分為反射式( Reflected )、儲存式(
- 關於入侵偵測系統( Intrusion Detection System )與入侵防護系統( Intrusion Prevention System )之應用,下列敘述何者正確?(複選)(A)
- 關於網站應用程式之安全性監控,下列敘述何者「不」正確?(複選)(A) 使用者登錄、存取控制與輸入驗證之錯誤資訊,均需詳細記錄至日誌中,以利分析與識別可能之攻擊(B) 網站應用程式日誌應即時產生
- 題組:某公司為軟體系統開發商,主要業務為協助客戶進行客製化軟體系統之開發,若您為公司資安官,負責公司所有資訊安全之防護與管理事宜,公司近期剛通過第三方之 ISO/IEC 27001 驗證,範圍包含:系
- 【題組】題組背景描述如附圖。某日同仁通報公司檔案伺服器內之文件檔案均因不明原因被加密,所有儲存於檔案伺服器之檔案均無法開啟,導致該業務中斷服務,請問此為下列何種攻擊手法?(A) 社交工程攻擊(
- 【題組】題組背景描述如附圖。為了機房能夠正常提供納管設備之運作,避免某些因素而導致機房中斷服務,下列何種控制措施較為正確?(A) 機房增加不斷電系統(B) 各伺服器均定期更新病毒碼(C) 網路
- 【題組】題組背景描述如附圖。公司為客戶開發的軟體系統,於交付客戶前,為確保其安全性,應先執行下列哪些工作?(複選)(A) 弱點掃描(B) 原始碼檢測(C) 滲透測試(D) 使用者體驗檢測
- 題組:一位資安專家正在對內部網站進行連接埠掃描,使用工具為 Nmap,伺服器 IP 為 0.1,掃描後看到的結果如下:根據上列資訊,請回答下列問題:【題組】題組背景描述如附圖。上述掃
- 【題組】題組背景描述如附圖。若要提升 vsftpd 傳輸的安全性,應該使用下列何種方式最安全?(A) vsftpd over SSH(B) vsftpd over SSL / TLS,SSL
- 【題組】題組背景描述如附圖。若要在應用式防火牆( Application Firewall )開啟 FTP 服務提供 Internet 存取,下列何種開啟方式最佳?(A) 防火牆設定允許連入的
- 【題組】題組背景描述如附圖。若要提升 POP3 服務的安全性,應使用下列何種協定及連接埠?(A) POP3s, 443(B) POP3s, 1443(C) POP3s, 995(D) POP3
- 題組:免費憑證組織 Let's Encrypt,於 2019 年 2 月 27 日,宣佈該組織所頒發的免費憑證數量,已正式突破 10 億大關,該組織發佈免費憑證的目的是為了協助網站業者啟用
- 【題組】題組背景描述如附圖。關於 Let's Encrypt 及其機制,下列敘述何者「不」正確?(A) Let's Encrypt 是一家全球性的憑證頒發機構( Certi
- 【題組】題組背景描述如附圖。若想用 openssl 的指令完成產生並儲存自簽伺服器憑證,下列指令何者正確?(A) openssl req -x509 -nodes -days 365 -new
- 【題組】題組背景描述如附圖。由於 Let's Encrypt 無法產生 localhost 憑證,請問如何在本機測試時避免 localhost 使用 HTTPS 時的警示訊息,以確保
- 題組: 對於公司內部資安維運而言,資安漏洞或弱點的修補常是重要的工作,收到漏洞或弱點通報後,資安人員常依據漏洞或弱點之嚴重性,加上公司本身是否為漏洞或弱點影響範圍等資訊,來決定漏洞或弱點修補的優先性,