阿摩線上測驗
複選題
40. 【題組 5】情境如附圖所示。進行系統原始碼掃描時,下列哪些情境可被歸類為「Broken Authentication」或「Access Control」 相關問題?(複選)
(A) 密碼輸入不經雜湊儲存於資料庫
(B) 可以修改自已的帳號讀取到其他人帳號參數
(C) 使用 Base64 加 SHA256 加鹽雜湊儲存密碼
(D) 以 GET 方法將帳號與密碼置於 URL 參數
答案:登入後查看
統計: A(39), B(49), C(15), D(46), E(0) #3536986
統計: A(39), B(49), C(15), D(46), E(0) #3536986
詳解 (共 2 筆)
hiiii
#6842981
✅ 答案: (A), (B), (D)
簡短說明
-
(A) 密碼未經雜湊存於資料庫 — 明顯的 Broken Authentication / 憑證管理失敗(若資料外洩即可直接登入)。
-
(B) 可以修改自己的參數以讀到其他人帳號資料 — 典型 Access Control / IDOR(不當直接參照),屬於授權缺失。
-
(D) 以 GET 把帳密放在 URL 參數 — 導致憑證洩露(瀏覽器歷史、proxy/log),屬 Broken Authentication / 憑證暴露風險。
為何不選 (C)
-
(C) Base64 + SHA256 + 鹽雜湊:雖然不是最佳實務(應使用 bcrypt/Argon2 類的慢哈希),但它是屬於憑證儲存強度的實作細節,不直接等同於「認證失敗或存取控制缺失」的分類題材(題目問的是被歸類為 Broken Authentication / Access Control 的情境)。
→ 因此在考題語境下通常不列為主要選項;但注意:實務上仍建議改用專用慢哈希演算法以提升安全。
0
0