2. 試問運用網頁文字輸入欄位中，以輸入「' o r 1=1」訊息內容 的方式，讓該網頁顯示出所有的資料內容，這種攻擊型態屬 於下列那種攻擊手法？
(A) XSS
(B) SQL Injection
(C) CSRF
(D) DDoS

1. 下列的弱點應對修補方式，何者較「不」適當？ (A) 緩衝區溢位要用記憶體防護（DEP） (B) 遠端執行安全漏洞（RCE）可以透過防火牆阻擋 (C) Command Injection 用過濾方式即可防護 (D) Resource Injection 可以用白名單方式過濾

3. 駭客為了追求最大利益，將亂槍打鳥的隨機攻擊轉換成目標 式攻擊，進階持續性威脅（Advanced Persistent Threats, APT） 即是最難防禦的目標式攻擊。關於 APT 攻擊的敘述，下列 何者錯誤？ (A) 具有隱匿性高且長期潛伏於目標系統的特性 (B) APT 攻擊的模式通常都是透過老舊的網路設備進行 攻擊 (C) 潛伏期可以只是幾天，也可能長達一年半載 (D) 遭受攻擊後，被害者多數只能盡快修補漏洞並設定 災害停損點，無法有效根除攻擊

複選題4. 下列哪些是目前 2021 版 OWASP Top 10 中所包含的前 10 種 常見風險類別？ (A) 權限控制失效（Broken Access Control） (B) 跨站請求偽造（Cross-Site Request Forgery） (C) 注入式攻擊（Injection） (D) 加密機制失效（Cryptographic Failures）

5. 【題組 1 背景描述如附圖】系統弱點掃描後的修補處理方式， 下列何者是「不」可以接受補償措施的替代方案？ (A) 工具誤判的風險，須予以審查確認並由主管核可 (B) 目前更新系統需要長期計畫，故風險先予以接受 (C) 因系統老舊風險無法修補，但已將對外連線皆予以 關閉，無其他風險漏洞 (D) 優先安排時間予以更新作業系統，並事前測試確認

6. 【題組 1 背景描述如附圖】下列何者「不」是利用工具技術偵 測應用系統弱點的機制？ (A) 弱點掃描 (B) 滲透測試 (C) 社交工程 (D) 源碼檢測

7. 【題組 1 背景描述如附圖】下列何種資產不會產生資訊系統 安全弱點暴露的風險，被外界所利用攻擊？ (A) 電腦硬體資產 (B) 電腦軟體資產 (C) 電腦資料資產 (D) 人員資產

複選題8. 【題組 1 背景描述如附圖】下列哪些是資訊安全管理系統實 施中須考量的系統弱點？ (A) 源碼掃描後的高風險結果 (B) 滲透測試後的高風險結果 (C) Microsoft 定期發布的 Windows Update 檔案 (D) 網路供應商定期提供的網路防火牆韌體更新資訊

9. 零時差攻擊（Zero-day Attack）是指駭客利用開發商尚未釋 出修補程式的安全漏洞進行攻擊。下列敘述何者錯誤？ (A) 零時差攻擊不會出現在已停止支援之作業系統中 (B) 面對零時差攻擊，入侵防禦系統（Intrusion Prevention System, IPS）或是網頁應用程式防火牆可 進行有限度的防護 (C) 虛擬修補概念可以降低零時差攻擊的風險 (D) 迅速與確實進行弱點修補才是零時差攻擊的根本解 決之道

10. 社交工程是利用人性弱點誘騙受害者透漏機敏性資料或是 允許授權等行為，下列敘述何者錯誤？ (A) 網路釣魚是最常見的社交工程的攻擊手法 (B) 社交工程演練的目的是要培養員工反擊的能力，進 而破壞駭客的攻擊手法 (C) 駭客會利用偽造網站網址誘騙使用者上當也是屬於 社交工程的攻擊手法之一 (D) 企業組織會透過教育訓練宣導資安觀念，並委託廠 商設計測試的釣魚郵件進行檢視員工點擊郵件與連 結的行為是否違法資安規定

11. 路由協定（Routing Protocol）是一種指定封包轉送方式的網路協 定，請問關於路由協定之敘述，下列何者錯誤？ (A) 路由資訊協定（Route Information Protocol, RIP）是 最簡單的路由協定，主要傳遞路由資訊，透過每隔 5 秒廣播一次路由表來維護相鄰路由器的位置關係 (B) 路由資訊協定（Route Information Protocol, RIP）是 一個距離向量路由協定，最大 hop 數為 15，超過 15 hop 的網路則認為目標網路不可到達 (C) 開放式最短路徑優先（Open Shortest Path First, OSPF）協定是屬於鏈路狀態路由協定，係利用所維 護的網路狀態資料庫，透過最短路徑優先演算法 （SPF 演算法）計算來得到路由表 (D) 開放式最短路徑優先（Open Shortest Path First, OSPF）協定是屬於動態路由協定 0

114年 - 114-2 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#130418

114年 - 114-1 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#126101

113年 - 113-2 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#121982

113年 - 113-1 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#119309

112年 - 112-2 中級資訊安全工程師能力鑑定試題_科目1：I22資訊安全防護實務#116083

112年 - 112-1 中級資訊安全工程師能力鑑定試題：資訊安全防護實務#114235

111年 - 111 ipas中級資訊安全工程師能力鑑定試題_科目 2：資訊安全防護實務#112999

110年 - 110 中級資訊安全工程師能力鑑定試題：資訊安全防護實務#104035

109年 - 109 中級資訊安全工程師能力鑑定：資訊安全防護實務#90128

108年 - 2019 中級資訊安全工程師能力鑑定:資訊安全防護實務#89907