22. 依據 OWASP Top 10 有關應用程式未驗證或過濾使用者所提 供資料而產生風險之敘述,下列何者有誤?
(A) 常見的攻擊手法包含 Cross-site Scripting 攻擊
(B) 常見的攻擊手法包含 SQL Injection 攻擊
(C) 需要將命令與查詢資料合併,以防止注入式攻擊
(D) 屬 OWASP Top 10 的 Injection 風險

答案:登入後查看
統計: A(179), B(84), C(820), D(97), E(0) #3246607

詳解 (共 4 筆)

#6256353
(A) 常見的攻擊手法包含 Cros...
(共 532 字,隱藏中)
前往觀看
10
1
#6302693
答案是 (C) 需要將命令與查詢資料合...
(共 157 字,隱藏中)
前往觀看
10
1
#6164060
C.需要將命令與查詢資料「分開」,以預防注入式攻擊。
2
0
#6166641
一些常見的注入式攻擊是 SQL、NoSQL、OS 指令、物件關係對映 (ORM)、LDAP以及表達式語言 (EL) 或對象導航圖語言 (OGNL) 注入。這個概念在所有的直譯器都是相同的。假若應用程式存在注入式攻擊的弱點,源碼檢測是最好的方式。強烈建議對所有輸入的參數、標頭、URL、cookies、JSON、SOAP 以及 XML 的資料進行自動化測試。組織可以將靜態源碼測試 (SAST) 以及動態應用程式檢測 (DAST) 工具,包含到持續整合與持續部署 (CI/CD)管道中,以達成在上線部署前能識別注入攻擊的缺陷。
669648343a7cf.jpg
ㅤㅤ
ㅤㅤ
0
0

私人筆記 (共 1 筆)

私人筆記#6971131
未解鎖
OWASP Top 10 的注入風險(...
(共 820 字,隱藏中)
前往觀看
4
0