複選題

16.安全性資訊與事件管理(SecurityInformationandEventManagement，SIEM)是蒐集、分析、關聯日誌，並且提供即時的警報與威脅檢測，可針對事件回溯與調查，當我們設定要將一台WindowsServer2019的安全性事件，拋送回到SIEM進行分析，可以透過下列哪些通訊協定無需額外的透過cmd指令串接、設定、組態即可傳送？(複選)
(A)Syslog(SystemLoggingProtocol)
(B)SNMP(SimpleNetworkManagementProtocol)
(C)Agent-Based
(D)WindowsEventForwarding(WEF)

1.目前有一個大企業，員工超過5000人、系統超過500個，想要定期對內部進行弱點掃描，請問在實務考量下(人力、資源、時間都有限)，下列觀念何者較為正確？(A)無論弱點的風險等級是重大、高、中、低，無論弱點數量有多少個，無論資訊部門的人力是否足夠，都應該在一天之內把所有弱點都修補完畢，才能確保企業是安全的(B)只要掃描出來的弱點類型屬於OWASPTop10其中之一，就應該立刻進行修補，不需要對弱點進行任何評估(C)掃描結果出爐後，應先針對每個弱點的風險等級、實際影響程度、有無出現攻擊利用程式(Exploit)進行評估，同時也要考慮重開機或停機對企業服務的影響程度，最後再來規劃每個弱點的修補時程(D)當某台伺服器的弱點掃描結果出現作業系統弱點時，如果該作業系統的官方網站沒有釋出任何修補更新檔(patch)，維運人員就不需要對該伺服器做任何處置

複選題2.關於弱點攻擊的敘述，下列何者正確？(複選)(A)軟體弱點或稱應用程式弱點，通常存在於軟體程式碼中，例如，錯誤的邏輯處理、未正確驗證輸入、設定配置錯誤造成危害等，都屬於這類的弱點(B)硬體弱點：這些弱點存在於硬體設備或韌體中，例如，沒有正確處理記憶體的設置，而導致裝置超載當機，甚至資料外洩(C)零日弱點：泛指廠商已經提供升級修補，卻沒進行升級更新的漏洞，攻擊者可以利用這些未被修補的弱點進行攻擊(D)網路弱點：這種弱點可能因為網路設計、配置或安全政策的問題，例如，開放不必要的網路通訊埠或服務，或者沒有使用安全加密的通訊協定

3.當企業遇到資安攻擊時，可以思考各種不同的方式來進行防禦，以便修補漏洞或暫時緩解。開發人員或資安維運人員必須選擇最合適的防禦機制來修補資安漏洞。下列何種防禦手法的「效果最差」，很容易被攻擊者用其他方式繞過？(A)FilterInputandEscapeOutput，也就是過濾使用者輸入的特殊字元，並且在後端輸出內容時將特殊字元進行轉化，避免發生XSS攻擊(B)實作上傳功能時，檢查上傳檔案的內容與路徑，也限制上傳檔案的副檔名，並且將檔案搬移至上傳檔案專屬目錄，甚至是上傳到靜態檔案專屬的伺服器，同時也將該目錄設定為不可執行檔案，避免有網頁程式碼在該目錄被執行(C)撰寫資料庫查詢功能時，無論參數是不是使用者所輸入的，都必須針對參數內容進行過濾，移除所有非必要的特殊字元，並且對無法移除的特殊字元進行轉化。同時建議使用PreparedStatement來撰寫資料庫查詢功能會較為安全(D)在一個需要串接系統指令的網頁應用程式中，開發人員在網頁程式前端使用JavaScript來過濾特殊字元，防止攻擊者在參數中注入特殊字元來執行系統指令並達成CommandInjection攻擊

複選題4.關於知名密碼破解工具Hashcat的說明，下列哪些描述正確？(複選)(A)可以破解的密碼種類超過10種(B)可以使用?u?l?d?d?d?d?d?d這種MaskAttackMode來進行暴力破解，破解出來的密碼內容範例是aB123456(C)如果使用參數-a1的話，可以同時使用兩個字典檔一起組合破解(D)進行-a0字典檔攻擊時，如果使用參數-r的話，可以載入一組規則以便進行Rule-basedAttack，例如在所有字典的後面加上1234組合成新的密碼

5.在進行例行性的檢查時，你發現在WEB主機上，出現了附圖一的log記錄，這個log記錄中，出現了登入錯誤的訊息，但這個訊息恐怕不是登入錯誤而已，這樣的log記錄內容，你可能已經遭受到下列何種攻擊？(A)修改網站的配置文件以獲得管理員權限(B)利用SQL注入漏洞來控制資料庫，進而執行代碼(C)通過注入惡意指令到SSH日誌文件中，然後通過LFI(LocalFileInclusion)加載該日誌文件來執行惡意指令(D)網站被發起了XSSServerSide的攻擊

6.在你自覺到公司的網站伺服器可能入侵的同時，你發現在資料庫伺服器的工作排程中出現了一個名為windowsupdate的工作，執行的內容如附圖二所示。請問對於windowsupdate的工作內容描述，下列何者正確？(A)這是段Powershell，它試圖在背景執行，且會產出一個名為LSASS的Script(B)就說明看來它應該Windows更新工作(C)這是段Powershell，它試圖略過執行政策並且轉換Script為執行檔(D)就說明看來它應該是會產生一支可進行Windows更新的檔案

7.當資安小組開始調查這個事件時，在AD主機上發現了附圖三的內容。請問你遭受了什麼類型的攻擊？(A)你的組織受到了DenialofService攻擊(B)你的組織受到了PasstheTicket攻擊(C)你的組織受到了BufferOverflow攻擊(D)你的組織受到了DirectorySync攻擊

複選題8.針對上述情境，下列哪些措施可以有效降低類似攻擊再次發生的機率？（複選） (A)針對資料庫主機購置更強的資料庫稽核系統(B)定期進行員工安全意識培訓(C)加強對網路和系統的持續監控(D)實施更嚴格的身份驗證和存取控制策略

9.勒索軟體與資料外洩攻擊之準備、預防、緩解與應變之實務上，可透過分析系統執行特定指令來進行威脅獵補(Threathunting)，以即早偵測並發現異常行為。下列何種Windows指令「非」勒索軟體常用於竄改系統檔案/備份之目的？(A)fsutil.exe(B)ntfsbackup.exe(C)vssadmin.exe(D)wbadmin.exe

10.據NISTSP800系列標準，關於災難復原計畫(DisasterRecoveryPlan，DRP)、業務持續性計畫(BusinessContinuityPlan，BCP)和資訊系統應急準備計畫(InformationSystemContingencyPlan，ISCP)的關聯性，下列何項描述正確？(A)災難復原計畫(DRP)專注於資訊技術系統的恢復，而業務持續性計畫(BCP)和資訊系統應急準備計畫(ISCP)則專注於組織的整體運營恢復(B)資訊系統應急準備計畫(ISCP)涵蓋整個組織的業務和資訊系統恢復策略，而災難復原計畫(DRP)和業務持續性計畫(BCP)則關注於特定技術解決方案(C)業務持續性計畫(BCP)專注於資訊技術系統的恢復，而災難復原計畫(DRP)和資訊系統應急準備計畫(ISCP)則專注於組織的整體運營恢復(D)災難復原計畫(DRP)專注於資訊技術系統的恢復，業務持續性計畫(BCP)涵蓋組織整體的業務運營持續性，而資訊系統應急準備計畫(ISCP)則專注於特定資訊系統的應急反應

114年 - 114-2 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#130418

114年 - 114-1 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#126101

113年 - 113-2 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#121982

113年 - 113-1 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#119309

112年 - 112-2 中級資訊安全工程師能力鑑定試題_科目1：I22資訊安全防護實務#116083

112年 - 112-1 中級資訊安全工程師能力鑑定試題：資訊安全防護實務#114235

111年 - 111 ipas中級資訊安全工程師能力鑑定試題_科目 2：資訊安全防護實務#112999

110年 - 110 中級資訊安全工程師能力鑑定試題：資訊安全防護實務#104035

109年 - 109 中級資訊安全工程師能力鑑定：資訊安全防護實務#90128

108年 - 2019 中級資訊安全工程師能力鑑定:資訊安全防護實務#89907