阿摩線上測驗
21. 關於 Web 攻擊手法的敘述,下列何者錯誤?
(A) SQL 注入攻擊:輸入特定的數據,將 SQL 指令插入
到應用程式的資料庫中,獲取敏感資訊或執行未授
權的操作,甚至破壞資料
(B) 跨網站腳本攻擊(XSS):通過在網頁中注入惡意腳
本,攻擊者僅可置換網頁內容,但無法對伺服器電
腦造成任何影響
(C) 跨站請求偽造攻擊(CSRF):利用受害者已經驗證過
的會話,攻擊者可以在受害者不知情的情況下,執
行某些操作,例如更改密碼
(D) 文件上傳漏洞:攻擊者可以通過在網站上上傳惡意
檔案,例如病毒、木馬、後門等,從而取得對受害
者系統的控制權
答案:登入後查看
統計: A(53), B(955), C(108), D(69), E(0) #3173291
統計: A(53), B(955), C(108), D(69), E(0) #3173291
詳解 (共 2 筆)
Aaron Lim
#6024648
關於Web攻擊手法的敘述,選項 (B) 跨網站腳本攻擊(XSS):通過在網頁中注入惡意腳本,攻擊者僅可置換網頁內容,但無法對伺服器電腦造成任何影響 是錯誤的。XSS攻擊不僅可以影響用戶端,透過特定類型的XSS攻擊,例如存儲型XSS(Stored XSS),攻擊者可能會影響到服務器端的資料,例如透過注入的惡意腳本竊取其他用戶的會話cookie,進而控制用戶的會話,甚至在某些情況下,能夠利用XSS漏洞來進行更進一步的攻擊,比如利用XSS漏洞配合其他漏洞進行二次攻擊,從而對伺服器造成影響。
XSS攻擊可以分為反射型XSS(Reflected XSS)、存儲型XSS(Stored XSS)和基於DOM的XSS(DOM-based XSS)。這些攻擊方式允許攻擊者執行任意的JavaScript代碼在用戶的瀏覽器上,這不僅僅限於更改網頁內容,還可以進行更惡意的活動,如竊取cookie、發起釣魚攻擊、重定向到惡意網站等。因此,選項 (B) 的描述忽略了XSS攻擊對於伺服器和用戶端都可能造成的廣泛影響。
6
0