阿摩線上測驗
25. 如附圖所示。你是一位電子商務公司的資安管理人員,經由外部資安廠商進行評估後發現其公司電子商務網站存在 SQL 注 入(SQL Injection)漏洞。駭客可以利用此漏洞竊取大量客戶資料,導致企業形象及名譽的受損,也需要負責法律上的責任。
請參考附圖 NIST 通用風險模型(The NIST Generic Risk Model),指出上述內容的「脆弱性」(Vulnerability)為下列何項?
(A) 網站存在 SQL 注入漏洞
(B) 客戶資料外洩
(C) 企業形象及名譽的受損任
(D) 駭客(惡意攻擊者)
答案:登入後查看
統計: A(87), B(7), C(6), D(1), E(0) #3671711
統計: A(87), B(7), C(6), D(1), E(0) #3671711
詳解 (共 1 筆)
hiiii
#7064725
正確答案是 ✅ (A) 網站存在 SQL 注入漏洞。
?題意解析:
題目提到引用 NIST Generic Risk Model(如圖所示,出自 NIST SP 800-30 Revision 1)。
題目要求指出案例中的「Vulnerability(脆弱性)」。
?依據 NIST SP 800-30 Rev.1 定義:
Vulnerability
A weakness in an information system, system security procedures, internal controls, or implementation that could be exploited or triggered by a threat source.
? 意即:
「脆弱性」是系統、程序或控制上的弱點,
會被威脅源(Threat Source)所利用(Threat Event)而造成損害。
⚖️對照題目中的各要素:
| 概念 | 案例對應 | 說明 |
|---|---|---|
| Threat Source (威脅來源) | (D) 駭客 | 攻擊者有意圖與能力進行入侵。 |
| Threat Event (威脅事件) | 攻擊行為(執行 SQL Injection) | 駭客實際利用弱點發動攻擊。 |
| Vulnerability (脆弱性) | ✅ (A) 網站存在 SQL 注入漏洞 | 系統設計上的弱點,允許攻擊成功。 |
| Adverse Impact (不利影響) | (B) 客戶資料外洩、(C) 名譽受損、法律責任 | 攻擊後導致的後果與損害。 |
?對應圖解說明:
在 NIST 通用風險模型中:
Threat Source → Threat Event → exploit → Vulnerability → causing → Adverse Impact套用本題:
駭客 (Threat Source) ↓ 發動 SQL Injection 攻擊 (Threat Event) ↓ 利用 網站 SQL 注入漏洞 (Vulnerability) ↓ 造成 客戶資料外洩、企業名譽受損 (Adverse Impact)✅ 正確答案: (A) 網站存在 SQL 注入漏洞
0
0