1. 以下哪項不是密碼管理的最佳實踐之一?
使用長度足夠的密碼
定期更換密碼
在多個帳戶間共享相同密碼
啟用多因子認證
2. 弱點管理的主要目的為何?
降低系統風險
防止所有攻擊
修補所有漏洞
提高網路效率
3. 下列關於保護密碼的方式,何者不恰當?
避免和其他人共用密碼
不透過email或通訊軟體傳送密碼
使用密碼管器管理密碼
將密碼寫在便條紙上
4. 下列何種情況可能導致安全設置錯誤?
使用強密碼
定期更新軟體
將機敏資料加密
使用預設的設定
5. 注入(injection)攻擊的主要成因為下列何者?
使用者輸入的資料內容沒有檢查或過濾
使用者輸入的資料長度沒有檢查或限制
使用者輸入的資料不符合正規表示式(regular expression)的要求
使用者輸入的資料沒有以空字元結尾
6. 如何預防SQL注入(SQL Injection)攻擊?
使用強大的防火牆
加密敏感數據
定期更換密碼
使用參數化查詢或預處理語句
7. 緩衝區溢位(buffer overflow)的主要成因為下列何者?
使用者輸入的資料內容沒有檢查或過濾
使用者輸入的資料長度沒有檢查或限制
使用者輸入的資料不符合正規表示式(regular expression)的要求
使用者輸入的資料沒有以空字元結尾
8. 關於雜湊函數的描述,下列何者正確?
雜湊函數的結果可以還原回原始的輸入資料
雜湊函數可以驗證資料是由特定人士產出,提供不可否認性的驗證
雜湊函數可以驗證資料是否經過竄改,提供完整性的驗證
SHA1雜湊函數的可依據輸入資料產出不同長度的輸出
9. 如何防止緩衝區溢位(buffer overflow)攻擊?
使用複雜的密碼
增加硬體資源
嚴格驗證輸入並確保不超出緩衝區大小
使用低階語言進行開發
10. 資安三角CIA Triad的C是指?
Cybersecurity
Confidentiality
Cryptography
Compliance
11. 資安三角CIA Triad的I是指?
Integrity
Identification
Investigation
Incident
12. 下列何者為可能的軟體系統弱點成因?
開發缺失
設計缺失
設定誤用
軟體價格
13. SQL注入(SQL injection)攻擊可以達成下列何種目標?
重新啟動網站
繞過網站的登入帳號密碼檢查
覆蓋網頁的程式碼
修改網站的IP位址
14. 如果要確認韌體更新的內容無誤,應採取下列何種方式?
驗證檔案名稱與官方網頁上提供的資訊相符
驗證檔案類型與官方網頁上提供的資訊相符
驗證檔案內容的雜湊值與官方網頁上提供的資訊相符
驗證檔案大小與官方網頁上提供的資訊相符
15. 資安三角CIA Triad的A是指?
Accounting
Authentication
Authorization
Availability
16. 以資安的角度而言,軟體更新的主要目的為何?
改變軟體的使用方式
修復軟體中的漏洞和錯誤
提高軟體的價值
增加軟體的功能
17. 關於SSRF (server-side request forgery)的描述,下列何者正確?
攻擊者透過竊取他人的認證資訊登入伺服器
攻擊者偽造要求,透過伺服器對其他服務進行連線存取
攻擊者偽造伺服器的界面,誘騙其他使用者提供資料
攻擊者偽造請求,繞過伺服器的登入驗證機制
18. 關於「撞庫攻擊」的成因,下列何者正確?
使用者挑選常見單字做為密碼
使用者設定長度不足的密碼
使用者在不同網站或服務使用相同的密碼
使用者的帳號和密碼相同或相近
19. 關於弱點管理的描述,下列何者正確?
是一個持續循環的工作過程
是一個一次性的工作流程
是一個事件驅動的工作流程
是一個被動式的工作流程
20. 關於OWASP的描述,下列何者正確?
是一個提升軟體安全的非營利組織/社群
是一個開源的程式語言
是一家軟體公司
是一個網路協定
留言列表
