問題詳情
9. 某駭客成功滲透進入公司的內部網路,藉由控制一台電腦發動生成樹協定( Spanning Tree Protocol, STP )控制攻擊,請問駭客接下來最有可能執行下列何項動作?
(A) 在受欺騙的根交換器( Root Bridge )啟用鏡像流量,並轉送所有網路流量到受到控制的電腦
(B) 在受欺騙的根交換器( Root Bridge )啟用開放式最短路徑優先( Open Shortest Path First, OSPF )協定
(C) 對內部網路中的所有第二層交換器重複相同的攻擊
(D) 重複相同的攻擊形成阻斷服務攻擊,癱瘓內部網路
(A) 在受欺騙的根交換器( Root Bridge )啟用鏡像流量,並轉送所有網路流量到受到控制的電腦
(B) 在受欺騙的根交換器( Root Bridge )啟用開放式最短路徑優先( Open Shortest Path First, OSPF )協定
(C) 對內部網路中的所有第二層交換器重複相同的攻擊
(D) 重複相同的攻擊形成阻斷服務攻擊,癱瘓內部網路
參考答案
答案:A
難度:非常困難0
書單:沒有書單,新增
內容推薦
- 關於跨站請求偽造( Cross-Site Request Forgery, CSRF 或 XSRF )的防禦方式,下列何者「不」適用?(A) 檢查請求(Request)的來源位址(驗證 HTTP
- Heartbleed( CVE-2014-0160 )漏洞主要是攻擊有問題的 SSL 機制,嘗試取得未加密的記憶體訊息,請問當發生此漏洞時,攻擊者一次可從記憶體中讀取多大的資料?(A) 64K(
- 美國國家安全局 NSA 的永恆之藍( EternalBlue )漏洞利用程式及WannaCry 勒索病毒之攻擊手法,至今仍有攻擊事件,其主要是利用下列何者?(A) Windows SMB 漏洞(
- 在網站弱點檢測報告中,發現系統存在路徑竄改( Path Manipulation )問題時,可以採取下列何種方案進行修補?(A) 可以使用白名單路徑跟黑名單危險字串(B) 可以採用圖像式驗證即可
- 要達成「資安聯防」目標,下列何者機制較為重要?(A) 資安情資分享(B) 公開金鑰基礎建設(C) 分散式滲透測試(D) 開放原始碼
- 關於容錯式磁碟陣列( RAID, Redundant Array of Independent Disks )當中的 RAID 5,下列敘述何者「不」正確?(A) 最大容錯 1 顆硬碟異常(B)
- 下列敘述何者是外心?(A) 三角形三高交點(B) 三角形三內角角平分線交點(C) 三角形三中線交點(D) 三角形三邊中垂線交點
- 解 4x=5x , 試問 x=?(A)-1 (B) 任意數 (C) 0 (D) 無解
- 已知 a 為偶數,b 為奇數,請問下列敘述何者錯誤?(A) (a+b) (a-b) 必為奇數。 (B) a2+b 2必為偶數。(C)3a+2b 必為偶數。 (D) (a+b) 2必為奇數。
- △ABC中,若D、E兩點分別在 上, ,則下列何者正確?(A) (B) (C) (D)
內容推薦
- 關於優良保密協定( Pretty Good Privacy, PGP ),下列敘述何者「不」正確?(A) 使用 IDEA 的演算法作為加密驗證之用(B) 支援訊息的身份認證和完整性檢查(C)
- 物聯網是當前應用發展最快速的科技之一,為確保國內相關產品的資訊安全,經濟部工業局規劃從:實體安全、系統安全、通訊安全、身分鑑別與授權機制安全、及隱私保護等五個安全構面,參照國際物聯網相關資安標
- 關於網站應用程式中之注入攻擊( Injection ),下列敘述何者「不」正確?(A) 此攻擊是因為網站應用程式未對輸入資料進行驗證( validated )、過濾( filtered )或清
- 關於滲透測試( Penetration Test, PT ),下列敘述何者「不」正確?(A) 模擬駭客攻擊並評估網路、資訊系統安全性之活動,於產出報告中詳述弱點如何利用與影響,並給予修復建議(
- 系統管理人員於網站日誌中看見大量訊息含有類似字串「 」,可能為下列何種攻擊?(A) SQL 資料隱碼攻擊( SQL Injection Attack )(B) 阻斷服務攻擊( Denial o
- 企業發生勒索軟體感染事件後,在下列哪些安全維運的記錄中可以找到線索進行判斷事件規模?(複選)(A) SIEM(B) OS Application Event Log(C) AntiVirus
- 關於源碼檢測與滲透測試,下列敘述何者正確?(複選)(A) 滲透測試的使用時機通常會在程式開發過程中分次執行,而源碼檢測常會在系統開發完成後才使用(B) SQL Injection 的問題,不論
- 關於網站應用程式中之跨網站指令碼攻擊( Cross-Site Scripting,XSS ),下列敘述何者正確?(複選)(A) 跨網站指令碼攻擊分為反射式( Reflected )、儲存式(
- 關於入侵偵測系統( Intrusion Detection System )與入侵防護系統( Intrusion Prevention System )之應用,下列敘述何者正確?(複選)(A)
- 關於網站應用程式之安全性監控,下列敘述何者「不」正確?(複選)(A) 使用者登錄、存取控制與輸入驗證之錯誤資訊,均需詳細記錄至日誌中,以利分析與識別可能之攻擊(B) 網站應用程式日誌應即時產生
- 題組:某公司為軟體系統開發商,主要業務為協助客戶進行客製化軟體系統之開發,若您為公司資安官,負責公司所有資訊安全之防護與管理事宜,公司近期剛通過第三方之 ISO/IEC 27001 驗證,範圍包含:系
- 【題組】題組背景描述如附圖。某日同仁通報公司檔案伺服器內之文件檔案均因不明原因被加密,所有儲存於檔案伺服器之檔案均無法開啟,導致該業務中斷服務,請問此為下列何種攻擊手法?(A) 社交工程攻擊(
- 【題組】題組背景描述如附圖。為了機房能夠正常提供納管設備之運作,避免某些因素而導致機房中斷服務,下列何種控制措施較為正確?(A) 機房增加不斷電系統(B) 各伺服器均定期更新病毒碼(C) 網路
- 【題組】題組背景描述如附圖。公司為客戶開發的軟體系統,於交付客戶前,為確保其安全性,應先執行下列哪些工作?(複選)(A) 弱點掃描(B) 原始碼檢測(C) 滲透測試(D) 使用者體驗檢測
- 題組:一位資安專家正在對內部網站進行連接埠掃描,使用工具為 Nmap,伺服器 IP 為 0.1,掃描後看到的結果如下:根據上列資訊,請回答下列問題:【題組】題組背景描述如附圖。上述掃
- 【題組】題組背景描述如附圖。若要提升 vsftpd 傳輸的安全性,應該使用下列何種方式最安全?(A) vsftpd over SSH(B) vsftpd over SSL / TLS,SSL
- 【題組】題組背景描述如附圖。若要在應用式防火牆( Application Firewall )開啟 FTP 服務提供 Internet 存取,下列何種開啟方式最佳?(A) 防火牆設定允許連入的
- 【題組】題組背景描述如附圖。若要提升 POP3 服務的安全性,應使用下列何種協定及連接埠?(A) POP3s, 443(B) POP3s, 1443(C) POP3s, 995(D) POP3
- 題組:免費憑證組織 Let's Encrypt,於 2019 年 2 月 27 日,宣佈該組織所頒發的免費憑證數量,已正式突破 10 億大關,該組織發佈免費憑證的目的是為了協助網站業者啟用
- 【題組】題組背景描述如附圖。關於 Let's Encrypt 及其機制,下列敘述何者「不」正確?(A) Let's Encrypt 是一家全球性的憑證頒發機構( Certi
- 【題組】題組背景描述如附圖。若想用 openssl 的指令完成產生並儲存自簽伺服器憑證,下列指令何者正確?(A) openssl req -x509 -nodes -days 365 -new
- 【題組】題組背景描述如附圖。由於 Let's Encrypt 無法產生 localhost 憑證,請問如何在本機測試時避免 localhost 使用 HTTPS 時的警示訊息,以確保
- 題組: 對於公司內部資安維運而言,資安漏洞或弱點的修補常是重要的工作,收到漏洞或弱點通報後,資安人員常依據漏洞或弱點之嚴重性,加上公司本身是否為漏洞或弱點影響範圍等資訊,來決定漏洞或弱點修補的優先性,
- 【題組】題組背景描述如附圖。承上題,關於這則漏洞通報(如附圖)中所揭露的訊息,下列敘述何者正確?(A) 通報內容有揭露此一漏洞的公布日期(B) 通報內容沒有揭露受此一漏洞所影響的產品與版本(C
- 【題組】題組背景描述如附圖。承上題,當漏洞被公布後,資安人員在檢查受漏洞影響設備的 Access Log 時,發現了附圖疑似遭攻擊的紀錄,由於/vpn 路徑項下不是此 web 服務公開路徑,下